优化顾问 OA

云服务在IAM预置了常用授权项，称为系统身份策略。如果IAM系统身份策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建IAM自定义身份策略来进行精细的访问控制，IAM自定义身份策略是对系统身份策略的扩展和补充。

除IAM服务外，Organizations服务中的服务控制策略（Service Control Policies，以下简称SCP）也可以使用这些授权项元素设置访问控制策略。

SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。

IAM服务与Organizations服务在使用这些元素进行访问控制时，存在着一些区别，详情请参见：IAM服务与Organizations服务权限访问控制的区别。

本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素，这些元素包含了操作（Action）、资源（Resource）和条件（Condition）。

如何使用这些元素编辑IAM自定义身份策略，请参考创建自定义身份策略。
如何使用这些元素编辑SCP自定义策略，请参考创建SCP。

操作（Action）

操作（Action）即为身份策略中支持的操作项。

“访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。
“资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。
- 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。
关于优化顾问定义的资源类型的详细信息请参见资源类型（Resource）。
“条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。
- 如果此列条件键没有值（-），表示此操作不支持指定条件键。
关于优化顾问定义的条件键的详细信息请参见条件（Condition）。

您可以在身份策略语句的Action元素中指定以下优化顾问的相关操作。

表1 优化顾问支持的授权项
授权项	描述	访问级别	资源类型（*为必须）	条件键
oa::listAuthorizations	授予获取用户授权列表。	read	-	-
oa::updateAuthorizations	授予修改用户授权。	write	-	-
oa::deleteAuthorizations	授予删除用户授权。	write	-	-
oa:monthReports:list	授予获取月度报告列表。	read	-	-
oa:monthReports:get	授予获取月度报告详情。	read	-	-
oa:monthReports:download	授予下载月度报告。	read	-	-
oa:checkItemRules:update	授予修改检查项规则。	write	-	-
oa:checkItemRules:list	授予获取检查项规则列表。	read	-	-
oa:autoCheckRule:update	授予修改自动检查规则。	write	-	-
oa:autoCheckRule:get	授予获取自动检查规则。	read	-	-
oa:riskItemsCheck:createTask	授予创建风险项检查任务。	write	-	-
oa:riskItemsCheck:getTaskProgress	授予获取风险项检查任务进度。	read	-	-
oa:riskItemsCheck:getTaskResult	授予获取风险项检查结果。	read	-	-
oa:riskItemsCheck:getTaskResultDimension	授予获取风险项检查结果维度。	read	-	-
oa:riskItemsCheck:listReportSubscriptions	授予获取风险项报告的订阅列表。	read	-	-
oa:riskItemsCheck:getReportSubscriptionRule	授予获取风险项报告的订阅规则。	read	-	-
oa:riskItemsCheck:updateReportSubscriptionRule	授予修改风险项报告的订阅规则。	write	-	-
oa:riskItemsCheck:getRiskItemNum	授予获取风险项个数。	read	-	-
oa:riskItemsCheck:exportCheckItemResult	授予导出风险检查报告。	read	-	-
oa:riskItemsCheck:getExportProgress	授予获取风险检查报告导出进度。	read	-	-
oa:riskItemsCheck:downloadCheckItemResult	授予下载风险检查报告。	read	-	-
oa:riskItemCheck:createTask	授予创建单个风险项检查任务。	write	-	-
oa:riskItemCheck:getTaskProgress	授予获取单个风险项检查任务进度。	read	-	-
oa:riskItemCheck:getTaskResult	授予获取单个风险项检查结果。	read	-	-
oa:riskItemCheck:listTaskResultRegions	授予获取单个风险项检查结果所属局点列表。	read	-	-
oa:riskItemsCheck:listCheckItems	授予获取检查项列表。	read	-	-
oa::saveWellArchitectedRecord	授予保存良好架构问卷。	write	-	-
oa::deleteWellArchitectedRecord	授予删除良好架构问卷。	write	-	-
oa::listWellArchitectedRecord	授予查看良好架构问卷列表。	read	-	-
oa::getWellArchitectedRecordDetail	授予获取良好架构问卷详情。	read	-	-
oa::generateWellArchitectedReport	授予生成良好架构报告。	write	-	-
oa::getWellArchitectedReportDetail	授予查看良好架构报告详情。	read	-	-
oa::listOrgAccounts	授予获取组织成员账号列表。	read	-	-
oa:capacityAnalysis:getConfig	授予获取容量优化分析配置。	read	-	-
oa:capacityAnalysis:updateConfig	授予修改容量优化分析配置。	write	-	-
oa:capacityAnalysis:listResourceTypes	授予获取容量优化分析配置支持的资源类型列表。	read	-	-
oa:capacityAnalysis:listResources	授予获取容量优化分析配置关联的资源列表。	read	-	-
oa:capacityAnalysis:listResourceGroups	授予获取容量优化分析配置关联的资源分组列表。	read	-	-
oa:capacityAnalysis:createJob	授予创建容量优化分析任务。	write	-	-
oa:capacityAnalysis:getJobProgress	授予获取容量优化分析任务进度。	read	-	-
oa:capacityAnalysis:stopJob	授予停止容量优化分析任务。	write	-	-
oa:capacityAnalysis:getResultSummary	授予获取容量优化分析结果概要信息。	read	-	-
oa:capacityAnalysis:listResultDetails	授予获取容量优化分析结果详情列表。	read	-	-
oa:capacityAnalysis:deleteResultDetails	授予删除容量优化分析结果详情。	write	-	-
oa:capacityAnalysis:listReports	授予获取容量优化分析报告列表。	read	-	-
oa:capacityAnalysis:deleteReport	授予删除容量优化分析报告。	write	-	-
oa:capacityAnalysis:getReportExportProgress	授予获取容量优化分析报告导出进度。	read	-	-
oa:capacityAnalysis:downloadReport	授予下载容量优化分析报告。	read	-	-
oa:capacityAnalysis:exportReport	授予导出容量优化分析报告。	read	-	-
oa:capacityAnalysis:exportExpertReport	授予导出容量优化专家分析报告。	read	-	-
oa:applications:list	授予获取架构图列表。	read	-	-
oa:applications:get	授予获取架构图详情。	read	-	-
oa:applications:update	授予修改架构图基本信息。	write	-	-
oa:applications:delete	授予删除架构图。	write	-	-
oa:applications:updateView	授予修改架构图图元配置。	write	-	-
oa:applications:listServiceConfigs	授予获取架构图服务配置列表。	read	-	-
oa:applications:getResourceConfig	授予获取架构图资源解析配置。	read	-	-
oa:applications:updateRiskSwitchStatus	授予修改架构图风险数统计开关状态。	write	-	-
oa:applications:listRisks	授予获取架构图风险数。	read	-	-
oa:applications:listHistorys	授予获取架构图编辑历史列表。	read	-	-
oa:applications:getHistory	授予获取架构图编辑历史详情。	read	-	-
oa:applications:restoreHistory	授予恢复历史架构图。	write	-	-
oa:applications:deleteHistory	授予删除架构图编辑历史记录。	write	-	-
oa:applications:listRecycleApplications	授予获取回收站架构图列表。	read	-	-
oa::listSystemCesMetrics	授予获取CES指标列表。	read	-	-
oa::listSystemCesMetricData	授予获取CES指标数据。	read	-	-
oa::getSystemConfigItem	授予获取配置中心配置项。	read	-	-
oa:capacityAnalysis:listHistoryReports	授予获取容量优化历史分析记录列表。	read	-	-
oa:capacityAnalysis:listMetrics	授予获取容量优化风险资源的监控指标列表。	read	-	-
oa:capacityAnalysis:listMonitor	授予获取容量优化风险资源的监控数据列表。	read	-	-
oa::getAutoloadData	授予获取自助接入结果数据。	read	-	-
oa:capacityAnalysis:listResultMonitorData	授予获取重保风险分析结果列表风险数据的监控数据。	read	-	-
oa:applications:getSummary	授予获取架构图概要信息。	read	-	-
oa:applications:listCapacityAnalysisSupportedServices	授予获取容量优化大屏支持服务列表。	read	-	-
oa:applications:listCapacityAnalysisResults	授予获取容量优化大屏分析结果列表。	read	-	-
oa:applications:startAutomaticDrawAnalysis	授予创建自动画图分析任务。	write	-	-
oa:applications:getAutomaticDrawAnalysisProgress	授予获取自动画图分析任务进度。	read	-	-
oa:applications:getAutomaticDrawAnalysisResult	授予获取自动画图分析任务结果。	read	-	-
oa:applications:getVpcFlowLogsDockingStatus	授予获取VPC流日志对接状态。	read	-	-
oa::listResourceGroups	授予获取资源分组列表。	read	-	-
oa::getResourceGroups	授予获取资源分组详情。	read	-	-
oa::updateResourceGroups	授予修改资源分组。	write	-	-
oa::deleteResourceGroups	授予删除资源分组。	write	-	-
oa::listResourceGroupsRegions	授予获取资源分组局点列表。	read	-	-
oa::listResourceGroupsResources	授予获取资源分组资源列表。	read	-	-
oa::listEnterpriseProjectResources	授予获取企业项目下的资源列表。	read	-	-
oa::listServiceMetrics	授予获取云服务指标项列表。	read	-	-
oa::listAlarmMetrics	授予获取告警指标项列表。	read	-	-
oa:applications:listServiceResources	授予获取架构设计云服务资源列表。	read	-	-
oa:applications:saveResourceGroup	授予保存架构设计资源分组。	write	-	-
oa::listResourceTypes	授予获取资源类型列表。	read	-	-
oa::listAllResourceGroups	授予获取所有资源分组。	read	-	-
oa:applications:downloadResourceTemplate	授予架构设计下载资源导入模板。	read	-	-
oa:applications:importResources	授予架构设计导入资源。	read	-	-
oa:applications:getResourcesImportResult	授予获取架构设计资源导入结果。	read	-	-
oa:applications:saveResourceGroupsBatch	授予架构设计批量保存资源分组。	write	-	-
oa:applications:getBatchSaveResourceGroupsResult	授予获取架构设计批量保存资源分组结果。	read	-	-
oa::downloadResourceTemplate	授予资源分组下载资源导入模板。	read	-	-
oa::importResourceGroups	授予资源分组导入资源。	read	-	-
oa::getResourcesGroupsImportResult	授予获取资源分组资源导入结果。	read	-	-
oa:applications:startServiceRecommendAnalysis	授予开始服务推荐分析。	write	-	-
oa:applications:getServiceRecommendAnalysisResult	授予获取服务推荐分析结果。	read	-	-
oa:applications:listAttachedResources	授予展示架构图关联资源列表。	read	-	-
oa:applications:listNodeAttachedResources	授予展示图元对应的资源列表。	read	-	-
oa:applications:downloadAttachedResources	授予架构图资源导出。	write	-	-
oa::getAutoloadConfigs	授予获取翻译项。	read	-	-
oa::listRiskItemsCheckReportsV4	授予获取风险项报告列表。	read	-	-
oa::getResources	授予获取自主接入资源数据。	read	-	-
oa:capacityAnalysis:getListMetrics	授予获取容量优化风险资源的监控指标列表。	read	-	-
oa:capacityAnalysis:getListMonitor	授予获取容量优化风险资源的监控数据列表。	read	-	-

资源类型（Resource）

优化顾问不支持在身份策略中的资源中指定资源进行权限控制。如需允许访问优化顾问，请在身份策略的Resource元素中使用通配符号*，表示身份策略将应用到所有资源。

条件（Condition）

优化顾问不支持在身份策略中的条件键中配置服务级的条件键。优化顾问可以使用适用于所有服务的全局条件键，请参考全局条件键。

父主题： 管理与监管

上一篇：应用运维管理 AOM

下一篇：迁移

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

盘古Doer提问云社区提问