更新时间:2024-10-24 GMT+08:00
分享

云防火墙 CFW

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于CFW定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于CFW定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下CFW的相关操作。

表1 CFW支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

cfw:acl:createAclRule

授予创建acl规则的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:deleteAclRule

授予删除acl规则的权限。

write

acl *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:deleteHitCount

授予删除acl规则命中次数的权限。

write

acl *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listDomainParseServers

授予查询域名解析服务器列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getDomainParseResult

授予解析域名的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:getExportStatus

授予查询acl规则导出状态的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:getImportStatus

授予查询acl规则导入状态的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:getImportTemplate

授予获取acl规则导入模板的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:listAclRules

授予查询acl规则列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:listAclTags

授予查询acl规则标签列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:updateAclRule

授予更新acl规则的权限。

write

acl *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:updateAclRuleAction

授予更新acl规则动作的权限。

write

acl *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateDomainParseServer

授予更新域名解析服务器的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:acl:setPriority

授予设置acl规则优先级的权限。

write

acl *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:blackWhiteList:create

授予创建黑白名单的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:blackWhiteList:delete

授予删除黑白名单的权限。

write

blackWhiteList *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:blackWhiteList:list

授予列出黑白名单列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:blackWhiteList:update

授予更新黑白名单的权限。

write

blackWhiteList *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:domainGroup:update

授予更新域名组的权限。

write

domainGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:domainGroup:create

授予创建域名组的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:domainGroup:delete

授予删除域名组的权限。

write

domainGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:domainGroup:list

授予列出域名组列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:eip:count

授予查询弹性公网IP数量的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:eip:list

授予列出弹性公网IP列表的权限。

list

instance *

g:ResourceTag/<tag-key>

cfw:eip:updateProtectStatus

授予修改弹性公网IP防护状态的权限。

write

eip *

-

-

g:EnterpriseProjectId

cfw:instance:checkNameRepeat

授予检查云防火墙名称是否重复。

read

-

-

cfw:instance:listAdvanceIpsRules

授予查询云防火墙高级ips规则列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listUsedEr

授予查询已使用er列表的权限。

list

-

-

cfw:instance:listUsedInspectionVpc

授予查询已使用inspectionVpc列表的权限。

list

-

-

cfw:instance:addLogConfig

授予添加云防火墙日志配置的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

cfw:LogGroupId

cfw:instance:updateCustomRule

授予更新云防火墙用户自定义ips的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateCustomRuleAction

授予更新云防火墙用户自定义ips动作的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateLogConfig

授予更新云防火墙LTS日志配置的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

cfw:LogGroupId

cfw:instance:createInstance

授予创建云防火墙的权限。

write

instance *

-

-

  • g:RequestTag/<tag-key>
  • g:TagKeys
  • g:EnterpriseProjectId

cfw:instance:deletePostPaidInstance

授予删除按需计费云防火墙的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:createCaptureTask

授予创建云防火墙抓包任务的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:createCustomRule

授予创建云防火墙自定义IPS规则的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:createTags

授予创建云防火墙标签的权限。

tagging

instance *

  • g:EnterpriseProjectId
  • g:ResourceTag/<tag-key>

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

cfw:instance:deleteInstance

授予删除云防火墙实例的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteCaptureTask

授予删除云防火墙抓包任务的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteCustomRule

授予删除云防火墙用户自定义IPS规则的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteLogSearchHistory

授予删除云防火墙日志搜索历史的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteTags

授予删除云防火墙标签的权限。

tagging

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

g:TagKeys

cfw:instance:exportLog

授予导出日志的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listInstanceByTags

授予按标签查询云防火墙实例的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

g:TagKeys

cfw:instance:getBaseVersion

授予查询基础版云防火墙的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getCaptureTaskResult

授予查询云防火墙抓包任务结果的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getCustomRule

授予查询云防火墙自定义IPS规则详情的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getDomainParseServerStatus

授予查询云防火墙域名服务器状态的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getIpsMode

授予查询云防火墙IPS防护模式的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getIpsStatus

授予查询云防火墙IPS状态的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getLogConfig

授予查询云防火墙LTS日志配置的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getMaxCapturePacketNum

授予查询云防火墙用户最大抓包数量的权限。

read

-

-

cfw:instance:getPolicyStatistics

授予查询云防火墙防护策略统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listProjectTags

授予查询云防火墙项目标签列表的权限。

list

-

-

cfw:instance:getRegionDb

授予查询云防火墙地理位置库的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listInstanceTags

授予查询云防火墙实例标签列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listInstance

授予查询云防火墙列表的权限。

list

instance *

-

cfw:instance:getInstance

授予查询云防火墙详情的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listAccessControlLog

授予查询云防火墙访问控制日志列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listAttackLog

授予查询云防火墙攻击日志列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listCaptureTask

授予查询云防火墙抓包任务列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listCustomRule

授予查询云防火墙用户自定义IPS列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getEw

授予查询云防火墙东西向墙的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listFlowLog

授予展示云防火墙流量日志列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listIpsRule

授予展示云防火墙IPS规则列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listProtectedVpc

授予查询云防火墙防护vpc列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateIpsMode

授予更新云防火墙IPS防护模式的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateAdvanceIpsRule

授予更新云防火墙高级ips规则的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateIpsRuleAction

授予更新云防火墙IPS规则模式的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateIpsStatus

授予更新云防火墙IPS状态的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateEwProtectedStatus

授予更新云防火墙东西向防火墙防护状态的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:saveTags

授予替换云防火墙标签的权限。

tagging

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

-

  • g:RequestTag/<tag-key>
  • g:TagKeys

cfw:instance:startBaseVersion

授予开通云防火墙基础版的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:stopBaseVersion

授予关闭云防火墙基础版的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:stopCaptureTask

授予停止云防火墙抓包任务的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateAlarmConfig

授予更新云防火墙告警配置的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getAlarmConfig

授予查询云防火墙告警配置的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:upgradeInstance

授予升级云防火墙的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateName

授予更新云防火墙名称的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getAccessControlLogStatistics

授予查询云防火墙访问控制日志统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getAttackLogStatistics

授予查询云防火墙攻击日志统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getLogSearchHistory

授予查询云防火墙日志搜索历史的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getEngineLogStatistics

授予查询云防火墙引擎日志统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getFlowLogStatistics

授予查询云防火墙流量日志统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getIpLogStatistics

授予查询云防火墙IP日志统计信息的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:updateIpGroupMember

授予更新云防火墙地址组成员的权限。

write

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:createIpGroup

授予修改云防火墙地址组成员的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:createIpGroupMember

授予创建云防火墙地址组成员的权限。

write

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:deleteIpGroup

授予删除云防火墙地址组的权限。

write

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:deleteIpGroupMember

授予删除云防火墙地址组成员的权限。

write

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:getIpGroup

授予查询云防火墙地址组的权限。

read

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:listIpGroups

授予查询云防火墙地址组列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:listIpGroupMember

授予查询云防火墙地址组成员列表的权限。

list

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:ipGroup:updateIpGroup

授予更新云防火墙地址组的权限。

write

ipGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:updateServiceGroupMember

授予修改云防火墙服务组成员的权限。

write

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:create

授予创建云防火墙服务组成员的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:createServiceGroupMember

授予创建云防火墙服务组成员的权限。

write

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:delete

授予删除云防火墙服务组的权限。

write

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:deleteServiceGroupMember

授予删除云防火墙服务组成员的权限。

write

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:get

授予查询云防火墙服务组的权限。

read

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:list

授予查询云防火墙服务组列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:listServiceGroupMember

授予查询云防火墙服务组列表的权限。

list

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:serviceGroup:update

授予更新云防火墙服务组的权限。

write

serviceGroup *

-

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:enableMultiAccount

授予开启云防火墙多账号管理的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listAccounts

授予查看多账号列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listOrganizationTree

授予查看组织树的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:addAccount

授予添加账号的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteAccount

授予删除账号的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getProtectedVpc

授予查看防火墙防护vpc详情的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteProtectedVpc

授予删除防火墙防护vpc的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:addProtectedVpc

授予添加防火墙防护vpc的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateProtectedVpc

授予更新防火墙防护vpc的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateAntiVirusStatus

授予更新云防火墙反病毒状态的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getAntiVirusStatus

授予查看云防火墙反病毒状态的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateAntiVirusRule

授予更新云防火墙反病毒规则的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getAntiVirusRule

授予查看云防火墙反病毒规则的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:listReportProfile

授予查看防火墙周报模板列表的权限。

list

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:createReportProfile

授予创建防火墙周报模板的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:updateReportProfile

授予更新防火墙周报模板的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:getReportProfile

授予查看防火墙周报模板的权限。

read

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

cfw:instance:deleteReportProfile

授予删除防火墙周报模板的权限。

write

instance *

  • g:ResourceTag/<tag-key>
  • g:EnterpriseProjectId

CFW的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。

表2 API与授权项的关系

API

对应的授权项

依赖的授权项

GET /v1/{project_id}/cfw/logs/flow

cfw:instance:listFlowLog

-

GET /v1/{project_id}/cfw/logs/access-control

cfw:instance:listAccessControlLog

-

GET /v1/{project_id}/cfw/logs/attack

cfw:instance:listAttackLog

-

PUT /v1/{project_id}/cfw/logs/configuration

cfw:instance:updateLogConfig

-

POST /v1/{project_id}/firewall/east-west

cfw:instance:createInstance

  • er:instances:list
  • er:instances:listVpcAttachments
  • er:attachments:create
  • vpc:vpcs:list
  • vpc:subnets:get
  • vpc:subnets:create
  • vpc:routeTables:list
  • vpc:routeTables:update
  • vpc:quotas:list
  • nat:natGateways:list

DELETE /v2/{project_id}/firewall/{resource_id}

cfw:instance:deleteInstance

-

GET /v1/{project_id}/firewall/east-west

cfw:instance:getEw

  • er:instances:listVpcAttachments
  • vpc:vpcs:list
  • nat:natGateways:list
  • er:instances:listVpcAttachments
  • er:instances:get

POST /v2/{project_id}/cfw-cfw/{fw_instance_id}/tags/create

cfw:instance:createTags

-

DELETE /v2/{project_id}/cfw-cfw/{fw_instance_id}/tags/delete

cfw:instance:deleteTags

-

GET /v1/{project_id}/capture-task

cfw:instance:listCaptureTask

-

POST /v1/{project_id}/capture-task

cfw:instance:createCaptureTask

-

POST /v1/{project_id}/capture-task/stop

cfw:instance:stopCaptureTask

-

POST /v1/{project_id}/capture-task/batch-delete

cfw:instance:deleteCaptureTask

-

GET /v1/{project_id}/capture-task/capture-result

cfw:instance:getCaptureTaskResult

-

GET /v1/{project_id}/dns/servers

cfw:instance:listDomainParseServers

-

PUT /v1/{project_id}/dns/servers

cfw:instance:updateDomainParseServer

-

PUT /v1/{project_id}/domain-set/{set_id}

cfw:domainGroup:update

-

DELETE /v1/{project_id}/domain-set/{set_id}

cfw:domainGroup:delete

-

GET /v1/{project_id}/domain-sets

cfw:domainGroup:list

-

DELETE /v1/{project_id}/address-items

cfw:ipGroup:deleteIpGroupMember

-

GET /v1/{project_id}/address-sets/{set_id}

cfw:ipGroup:getIpGroup

-

GET /v1/{project_id}/address-items

cfw:ipGroup:listIpGroupMember

-

GET /v1/{project_id}/address-sets

cfw:ipGroup:listIpGroups

-

DELETE /v1/{project_id}/domain-set/domains/{set_id}

cfw:domainGroup:delete

-

GET /v1/{project_id}/service-items

cfw:serviceGroup:listServiceGroupMember

-

DELETE /v1/{project_id}/service-items/{item_id}

cfw:serviceGroup:deleteServiceGroupMember

-

POST /v1/{project_id}/black-white-list

cfw:blackWhiteList:create

-

DELETE /v1/{project_id}/service-sets/{set_id}

cfw:serviceGroup:delete

-

POST /v1/{project_id}/firewalls/list

cfw:instance:listInstance

-

PUT /v1/{project_id}/service-sets/{set_id}

cfw:serviceGroup:update

-

POST /v1/{project_id}/eip/protect

cfw:eip:updateProtectStatus

-

POST /v1/{project_id}/domain-set

cfw:domainGroup:create

-

GET /v1/{project_id}/firewall/exist

cfw:instance:getInstance

-

DELETE /v1/{project_id}/acl-rule

cfw:acl:deleteAclRule

-

GET /v1/{project_id}/domain/parse/{domain_name}

cfw:instance:listDomainParseServers

-

POST /v1/{project_id}/acl-rule/count

cfw:acl:listAclRules

-

DELETE /v1/{project_id}/address-sets/{set_id}

cfw:ipGroup:deleteIpGroup

-

POST /v1/{project_id}/firewall/east-west/protect

cfw:instance:updateEwProtectedStatus

-

POST /v1/{project_id}/domain-set/domains/{set_id}

cfw:domainGroup:create

-

GET /v1/{project_id}/service-sets

cfw:serviceGroup:list

-

GET /v2/{project_id}/cfw-acl/tags

cfw:acl:listAclTags

-

POST /v1/{project_id}/service-set

cfw:serviceGroup:create

-

DELETE /v1/{project_id}/service-items

cfw:serviceGroup:deleteServiceGroupMember

-

POST /v1/{project_id}/ips/switch

cfw:instance:updateIpsStatus

-

POST /v1/{project_id}/ips/protect

cfw:instance:updateIpsMode

-

GET /v1/{project_id}/service-sets/{set_id}

cfw:serviceGroup:get

-

DELETE /v1/{project_id}/acl-rule/count

cfw:acl:deleteHitCount

-

PUT /v1/{project_id}/address-sets/{set_id}

cfw:ipGroup:updateIpGroup

-

DELETE /v1/{project_id}/acl-rule/{acl_rule_id}

cfw:acl:deleteAclRule

-

PUT /v1/{project_id}/acl-rule/action

cfw:acl:updateAclRuleAction

-

POST /v1/{project_id}/address-set

cfw:ipGroup:createIpGroup

-

PUT /v1/{project_id}/black-white-list/{list_id}

cfw:blackWhiteList:update

-

DELETE /v1/{project_id}/address-items/{item_id}

cfw:ipGroup:deleteIpGroupMember

-

GET /v1/{project_id}/ips/switch

cfw:instance:getIpsStatus

-

PUT /v1/{project_id}/acl-rule/{acl_rule_id}

cfw:acl:updateAclRule

-

GET /v1/{project_id}/vpcs/protection

cfw:instance:listProtectedVpc

-

GET /v1/{project_id}/eip-count/{object_id}

cfw:eip:count

-

GET /v1/{project_id}/black-white-lists

cfw:blackWhiteList:list

-

GET /v1/{project_id}/eips/protect

cfw:eip:list

-

DELETE /v1/{project_id}/black-white-list/{list_id}

cfw:blackWhiteList:delete

-

GET /v1/{project_id}/acl-rules

cfw:acl:listAclRules

-

GET /v1/{project_id}/domain-set/domains/{set_id}

cfw:domainGroup:list

-

POST /v1/{project_id}/acl-rule

cfw:acl:createAclRule

-

PUT /v1/{project_id}/acl-rule/order/{acl_rule_id}

cfw:acl:setPriority

-

POST /v1/{project_id}/address-items

cfw:ipGroup:createIpGroupMember

-

GET /v1/{project_id}/ips/protect

cfw:instance:getIpsMode

-

POST /v1/{project_id}/service-items

cfw:serviceGroup:createServiceGroupMember

-

GET /v1/{project_id}/cfw/logs/configuration

cfw:instance:getLogConfig

-

POST /v1/{project_id}/cfw/logs/configuration

cfw:instance:updateLogConfig

-

POST /v2/{project_id}/firewall

cfw:instance:createInstance

-

GET /v3/{project_id}/jobs/{job_id}

cfw:instance:listInstance

-

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。

CFW定义了以下可以在自定义SCP的Resource元素中使用的资源类型。

表3 CFW支持的资源类型

资源类型

URN

blackWhiteList

cfw:<region>:<account-id>:blackWhiteList:<blackWhiteList-id>

acl

cfw:<region>:<account-id>:acl:<acl-id>

instance

cfw:<region>:<account-id>:instance:<fwInstance-id>

serviceGroup

cfw:<region>:<account-id>:serviceGroup:<serviceGroup-id>

domainGroup

cfw:<region>:<account-id>:domainGroup:<domainGroup-id>

ipGroup

cfw:<region>:<account-id>:ipGroup:<ipGroup-id>

eip

cfw:<region>:<account-id>:eip:<eip-id>

条件(Condition)

条件(Condition)是SCP生效的特定条件,包括条件键运算符

  • 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如cfw:)仅适用于对应服务的操作,详情请参见表4
    • 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符

CFW定义了以下可以在自定义SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。

表4 CFW支持的服务级条件键

服务级条件键

类型

单值/多值

说明

cfw:LogGroupId

string

单值

根据请求参数中指定的LTS日志组ID过滤访问。

相关文档