云运维中心 COC
云服务在IAM预置了常用授权项,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。
除IAM服务外,Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。
SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。
IAM服务与Organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:IAM服务与Organizations服务权限访问控制的区别。
本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。
操作(Action)
操作(Action)即为身份策略中支持的授权项。
- “访问级别”列描述如何对操作进行分类(List、Read和Write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
- “资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。
- 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
关于COC定义的资源类型的详细信息请参见资源类型(Resource)。
- “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
- 如果此列条件键没有值(-),表示此操作不支持指定条件键。
关于COC定义的条件键的详细信息请参见条件(Condition)。
- “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明。
您可以在身份策略语句的Action元素中指定以下COC的相关操作。
|
授权项 |
描述 |
访问级别 |
资源类型(*为必须) |
条件键 |
别名 |
|---|---|---|---|---|---|
|
coc:application:list |
授予权限以查询应用列表 |
list |
application |
- |
- |
|
coc:application:create |
授予创建应用的权限 |
write |
application |
- |
- |
|
coc:application:update |
授予修改应用的权限 |
write |
application |
- |
- |
|
coc:application:delete |
授予删除应用的权限 |
write |
application |
- |
- |
|
coc:application:createGroup |
授予创建应用分组的权限 |
write |
application |
- |
- |
|
coc:application:listGroups |
授予查询指定应用分组列表的权限 |
list |
application |
- |
- |
|
coc:application:updateGroup |
授予修改应用分组的权限 |
write |
application |
- |
- |
|
coc:application:deleteGroup |
授予删除应用分组的权限 |
write |
application |
- |
- |
|
coc:application:syncGroupResource |
授予同步应用分组资源的权限 |
write |
application |
- |
- |
|
coc:application:updateResources |
授予修改应用资源的权限 |
write |
application |
- |
- |
|
coc:application:addResources |
授予为应用添加资源的权限 |
write |
application |
- |
- |
|
coc:application:removeResources |
授予移除应用资源的权限 |
write |
application |
- |
- |
|
coc:application:listResources |
授予查询应用资源列表的权限 |
list |
application |
- |
- |
|
coc:application:countResourceRelations |
授予查询资源关系数量的权限 |
list |
application |
- |
- |
|
coc:application:getCapacity |
授予查询应用中的资源容量的权限 |
list |
application |
- |
- |
|
coc:application:getSortedCapacity |
授予查询应用中有序的资源容量的权限 |
list |
application |
- |
- |
|
coc:application:listModel |
授予查询应用模型的权限 |
list |
application |
- |
- |
|
coc:vendorAccount:create |
授予新增云厂商账户的权限 |
write |
- |
- |
- |
|
coc:vendorAccount:list |
授予查询云厂商账户的权限 |
list |
- |
- |
- |
|
coc:vendorAccount:update |
授予修改云厂商账户的权限 |
write |
- |
- |
- |
|
coc:vendorAccount:delete |
授予删除云厂商账户的权限 |
write |
- |
- |
- |
|
coc:resourceView:list |
授予查询资源视图的权限 |
list |
- |
- |
- |
|
coc:resourceView:create |
授予创建资源视图的权限 |
write |
resourceView |
- |
- |
|
coc:resourceView:update |
授予更新资源视图的权限 |
write |
resourceView |
- |
- |
|
coc:resourceView:delete |
授予删除资源视图的权限 |
write |
resourceView |
- |
- |
|
coc:resourceView:syncResources |
授予同步某个具体资源视图下的资源列表的权限 |
write |
resourceView |
- |
- |
|
coc:resourceView:listResources |
授予查询某个具体资源视图下的资源列表的权限 |
list |
resourceView |
- |
- |
|
coc:resourceView:countResources |
授予查询某个具体资源视图中资源数量的权限 |
list |
- |
- |
- |
|
coc:instance:listResources |
授予查询资源列表的权限 |
list |
- |
- |
- |
|
coc:instance:syncResources |
授予同步资源列表的权限 |
write |
- |
- |
- |
|
coc:instance:countOtherResources |
授予查询离线资源(如物理机、中间件等)总数的权限 |
list |
- |
- |
- |
|
coc:instance:listTagsForResource |
授予查询资源标签的权限 |
list |
- |
- |
- |
|
coc:instance:addResourceToTags |
授予添加资源标签的权限 |
write |
- |
- |
- |
|
coc:instance:countResources |
授予查询资源总数的权限 |
list |
- |
- |
- |
|
coc::listEpsCollection |
授予查询企业项目收藏的权限 |
list |
- |
- |
coc:enterpriseProject:listCollect |
|
coc::updateEpsCollection |
授予修改企业项目收藏的权限 |
write |
- |
- |
coc:enterpriseProject:updateCollect |
|
coc::getLastSyncStatus |
授予查询实例最新同步状态的权限 |
list |
- |
- |
coc:system:getLastSyncStatus |
|
coc::getResourceSyncJobDetail |
授予查询资源同步任务详情的权限 |
list |
- |
- |
coc:system:getResourceSyncJobDetail |
|
coc:schedule:create |
授予创建定时任务的权限。 |
write |
schedule |
coc:ApplicationCode coc:ApplicationGroupCode coc:DocumentRiskLevel g:EnterpriseProjectId |
- |
|
coc:schedule:list |
授予查询定时任务列表的权限。 |
list |
schedule |
g:EnterpriseProjectId |
- |
|
coc:schedule:update |
授予更新定时任务的权限。 |
write |
schedule |
coc:ApplicationCode coc:ApplicationGroupCode coc:DocumentRiskLevel g:EnterpriseProjectId |
- |
|
coc:schedule:get |
授予查询定时任务详情的权限。 |
read |
schedule |
g:EnterpriseProjectId |
- |
|
coc:schedule:delete |
授予删除定时任务的权限。 |
write |
schedule |
g:EnterpriseProjectId |
- |
|
coc:schedule:enable |
授予启用定时任务的权限。 |
write |
schedule |
g:EnterpriseProjectId |
- |
|
coc:schedule:disable |
授予禁用定时任务的权限。 |
write |
schedule |
g:EnterpriseProjectId |
- |
|
coc:schedule:getHistories |
授予查询定时任务执行历史的权限。 |
read |
schedule |
g:EnterpriseProjectId |
- |
|
coc:instance:executeDocument |
授予在弹性云服务器上执行文档的权限 |
write |
instance |
|
- |
|
document |
|
||||
|
coc:alarm:clear |
授予清除告警的权限 |
write |
- |
- |
- |
|
coc:alarm:createAlarmLinkedIncident |
授予创建告警关联事件的权限 |
write |
- |
- |
- |
|
coc:alarm:listHandleHistories |
授予查询告警处理历史列表的权限 |
list |
- |
- |
- |
|
coc:alarm:get |
授予查询告警信息的权限 |
list |
- |
- |
- |
|
coc:ticket:list |
授予查询事件单列表的权限 |
list |
- |
- |
- |
|
coc:ticket:create |
授予创建事件单的权限 |
write |
- |
- |
- |
|
coc:ticket:get |
授予查询事件单详情的权限 |
read |
- |
- |
- |
|
coc:ticket:action |
授予处理事件单的权限 |
write |
- |
- |
- |
|
coc:ticket:delete |
授予删除事件单的权限 |
write |
- |
- |
- |
|
coc:ticket:uploadFile |
授予为事件单上传附件的权限 |
write |
- |
- |
- |
|
coc:warroom:create |
授予创建warroom的权限 |
write |
- |
- |
- |
|
coc:ticket:update |
授予修改事件单的权限 |
write |
- |
- |
- |
|
coc:ticket:getOperationHistories |
授予查询事件单操作历史的权限 |
list |
- |
- |
- |
|
coc:ticket:listActions |
授予查询可以执行操作列表的权限 |
list |
- |
- |
- |
|
coc:warroom:list |
授予查询warroom列表的权限 |
list |
- |
- |
- |
|
coc:document:analyzeRisk |
授予分析文档风险的权限。 |
read |
- |
- |
- |
|
coc:document:get |
授予查看文档内容的权限。 |
read |
- |
- |
- |
|
coc:document:getDocument |
授予查询文档详情权限。 |
read |
document |
- |
- |
|
coc:document:create |
授予创建文档的权限。 |
write |
document |
- |
- |
|
coc:document:createDocument |
授予创建文档权限。 |
write |
document |
- |
- |
|
coc:document:delete |
授予删除文档的权限。 |
write |
document |
- |
- |
|
coc:document:deleteDocument |
授予删除文档权限。 |
write |
document |
- |
- |
|
coc:document:execute |
授予执行文档权限。 |
write |
document |
- |
- |
|
coc:document:update |
授予修改文档的权限。 |
write |
document |
- |
- |
|
coc:document:updateDocument |
授予更新文档权限。 |
write |
document |
- |
- |
|
coc:document:list |
授予查询文档列表的权限。 |
list |
document |
- |
- |
|
coc:document:listDocument |
授予查询文档列表权限。 |
list |
- |
- |
- |
|
coc:quota:get |
授予查询配额的权限。 |
read |
- |
- |
- |
|
coc:instance:executeDocument |
授予在弹性云服务器上执行文档的权限。 |
write |
instance、document |
- |
- |
|
coc:job:get |
授予查询工单详情的权限。 |
read |
job |
- |
- |
|
coc:job:action |
授予操作工单的权限。 |
write |
job |
- |
- |
|
coc:job:list |
授予查询工单列表的权限。 |
list |
job |
- |
- |
|
coc:instance:autoBatchInstances |
授予为实例自动化分批的权限。 |
write |
- |
- |
- |
|
coc:documentAtomic:list |
授予查询文档原子能力列表权限。 |
list |
- |
- |
- |
|
coc:documentAtomic:get |
授予查询文档原子能力详情权限。 |
read |
- |
- |
- |
|
coc:execution:get |
授予查询执行工单详情权限。 |
read |
- |
- |
- |
|
coc:execution:listExecutionStep coc:execution:list |
授予查询执行工单步骤列表权限。 授予查询执行工单列表权限。 |
read list |
- |
- |
- |
|
- |
- |
- |
|||
|
coc:execution:listExecutionStepInstance |
授予查询执行工单步骤列表权限。 |
read |
- |
- |
- |
|
coc:execution:operate |
授予操作执行工单。 |
write |
- |
- |
- |
|
coc:job:list |
授予查询工单列表的权限 |
list |
job |
- |
- |
|
coc:job:action |
授予操作工单的权限 |
write |
job |
coc:JobType |
- |
|
coc:job:get |
授予查询工单详情的权限 |
read |
job |
coc:JobType |
- |
COC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。
|
API |
对应的授权项 |
依赖的授权项 |
|---|---|---|
|
GET /v1/resources/count |
coc:instance:countResources |
- |
|
GET /v1/applications |
coc:application:list |
- |
|
POST /v1/applications |
coc:application:create |
- |
|
PUT /v1/applications/{id} |
coc:application:update |
- |
|
DELETE /v1/applications/{id} |
coc:application:delete |
- |
|
POST /v1/groups |
coc:application:createGroup |
- |
|
GET /v1/groups |
coc:application:listGroups |
- |
|
PUT /v1/groups/{id} |
coc:application:updateGroup |
- |
|
DELETE /v1/groups/{id} |
coc:application:deleteGroup |
- |
|
POST /v1/groups/{id}/sync |
coc:application:syncGroup |
- |
|
PUT /v1/group-resource-relations |
coc:application:updateResources |
- |
|
POST /v1/group-resource-relations |
coc:application:addResources |
- |
|
DELETE /v1/group-resource-relations |
coc:application:removeResources |
- |
|
GET /v1/group-resource-relations |
coc:application:listResources |
- |
|
GET /v1/group-resource-relations/count |
coc:application:countResourceRelations |
- |
|
POST /v1/other-resources/import |
coc:instance:syncResources |
- |
|
POST /v1/components |
coc:application:create |
- |
|
GET /v1/components |
coc:application:list |
- |
|
PUT /v1/components/{id} |
coc:application:update |
- |
|
DELETE /v1/components/{id} |
coc:application:delete |
- |
|
GET /v1/application-view/search |
coc:application:list |
- |
|
POST /v1/capacity |
coc:application:getCapacity |
- |
|
GET /v1/capacity/order |
coc:application:getSortedCapacity |
- |
|
POST /v1/vendor-account |
coc:vendorAccount:create |
- |
|
GET /v1/vendor-account |
coc:vendorAccount:list |
- |
|
PUT /v1/vendor-account |
coc:vendorAccount:update |
- |
|
DELETE /v1/vendor-account |
coc:vendorAccount:delete |
- |
|
GET /v1/multicloud-resources/count |
coc:instance:countResources |
- |
|
POST /v1/multicloud-resources/sync |
coc:instance:syncResources |
- |
|
GET /v1/resource/views |
coc:resourceView:list |
- |
|
POST /v1/resource/views |
coc:resourceView:create |
- |
|
PUT /v1/resource/views/{id} |
coc:resourceView:update |
- |
|
DELETE /v1/resource/views/{id} |
coc:resourceView:delete |
- |
|
POST /v1/resource/views/{id}/sync |
coc:resourceView:syncResources |
- |
|
GET /v1/resource/views/resources |
coc:resourceView:listResources |
- |
|
GET /v1/resource/views/resources/count |
coc:resourceView:countResources |
- |
|
GET /v1/other-resources |
coc:instance:listResources |
- |
|
DELETE /v1/other-resources |
coc:instance:syncResources |
- |
|
PUT /v1/other-resources/{id} |
coc:instance:syncResources |
- |
|
GET /v1/other-resources/count |
coc:instance:countOtherResources |
- |
|
GET /v1/resources/{resource_id}/tags |
coc:instance:listResourceTags |
- |
|
POST /v1/resources/{resource_id}/tags |
coc:instance:addResourceToTags |
- |
|
POST /v1/resources/uniagent/sync |
coc:instance:syncResources |
- |
|
POST /v1/other-resources/uniagent/sync |
coc:instance:syncResources |
- |
|
GET /v1/enterprise-project-collect |
coc:enterpriseProject:listCollect |
- |
|
PUT /v1/enterprise-project-collect |
coc:enterpriseProject:updateCollect |
- |
|
GET /v1/multicloud-resources/last-sync-status |
coc:system:getLastSyncStatus |
- |
|
GET /v1/jobs/{job_id} |
coc:system:getResourceSyncJobDetail |
- |
|
GET /v1/multicloud-resources |
coc:instance:listResources |
- |
|
GET /v1/application-model/next |
coc:application:listModel |
- |
|
POST /v1/application-view/batch-create |
coc:application:create |
- |
|
GET /v1/resources |
coc:instance:listResources |
- |
|
GET /v1/resources/multi-count |
coc:instance:countResources |
- |
|
POST /v1/schedule/task |
coc:schedule:create |
iam:agencies:pass (授予向云服务传递委托的权限) |
|
GET /v1/schedule/task |
coc:schedule:list |
- |
|
PUT /v1/schedule/task/{task_id} |
coc:schedule:update |
iam:agencies:pass (授予向云服务传递委托的权限) |
|
GET /v1/schedule/task/{task_id} |
coc:schedule:get |
- |
|
DELETE /v1/schedule/task/{task_id} |
coc:schedule:delete |
- |
|
POST /v1/schedule/task/{task_id}/enable |
coc:schedule:enable |
- |
|
POST /v1/schedule/task/{task_id}/disable |
coc:schedule:disable |
- |
|
GET /v1/schedule/task/history |
coc:schedule:getHistories |
- |
|
POST /v1/alarm-mgmt/alarm/{alarm_id}/auto-process |
coc:instance:executeDocument |
- |
|
POST /v1/alarm-mgmt/alarms/cancel |
coc:alarm:clear |
- |
|
POST /v1/alarm-mgmt/alarms-linked-incident |
coc:alarm:createAlarmLinkedIncident |
- |
|
GET /v1/alarm-mgmt/alarm/{alarm_id}/handle-histories |
coc:alarm:listHandleHistories |
- |
|
GET /v1/alarm-mgmt/alarm/{alarm_id} |
coc:alarm:get |
- |
|
POST /v2/incidents/{incident_id}/actions |
coc:ticket:action |
- |
|
POST /v2/incidents/list |
coc:ticket:list |
- |
|
POST /v2/incidents/{incident_id}/histories |
coc:ticket:getOperationHistories |
- |
|
GET /v2/incidents/{incident_id}/tasks |
coc:ticket:listActions |
- |
|
POST /v1/external/incident/create |
coc:ticket:create |
- |
|
POST /v1/external/incident/attachments |
coc:ticket:uploadFile |
- |
|
POST /v1/external/incident/handle |
coc:ticket:action |
- |
|
POST /v1/external/{ticket_type}/list-histories |
coc:ticket:getOperationHistories |
- |
|
GET /v1/incident-tickets |
coc:ticket:list |
- |
|
GET /v1/external/incident/{incident_num} |
coc:ticket:get |
- |
|
POST /v1/external/issues/create |
coc:ticket:create |
- |
|
GET /v1/external/issues/{ticket_id} |
coc:ticket:get |
- |
|
POST /v1/external/warrooms |
coc:warroom:create |
- |
|
POST /v1/external/warrooms/list |
coc:warroom:list |
- |
|
POST /v1/instances/batches |
coc:instance:autoBatchInstances |
- |
|
POST /v1/job/analyze-job |
coc:document:analyzeRisk |
- |
|
POST /v1/job/scripts/{script_uuid} |
coc:instance:executeDocument |
- |
|
POST /v1/job/public-scripts/{script_uuid} |
coc:instance:executeDocument |
- |
|
GET /v1/job/scripts |
coc:document:list |
- |
|
GET /v1/job/scripts/{script_uuid} |
coc:document:get |
- |
|
POST /v1/job/scripts |
coc:document:create |
- |
|
PUT /v1/job/scripts/{script_uuid} |
coc:document:update |
- |
|
DELETE /v1/job/scripts/{script_uuid} |
coc:document:delete |
- |
|
POST /v1/job/scripts/{script_uuid}/action |
coc:document:update |
- |
|
GET /v1/job/public-scripts |
coc:document:list |
- |
|
GET /v1/job/public-scripts/{script_uuid} |
coc:document:get |
- |
|
GET /v1/job/script/orders |
coc:job:list |
- |
|
GET /v1/job/script/orders/{execute_uuid} |
coc:job:get |
- |
|
GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} |
coc:job:get |
- |
|
GET /v1/job/script/orders/{execute_uuid}/batches |
coc:job:get |
- |
|
GET /v1/job/script/orders/{execute_uuid}/statistics |
coc:job:get |
- |
|
PUT /v1/job/script/orders/{execute_uuid}/operation |
coc:job:action |
- |
|
GET /v1/documents |
coc:document:createDocument |
- |
|
POST /v1/documents |
coc:document:listDocument |
- |
|
GET /v1/atomics |
coc:documentAtomic:list |
- |
|
GET /v1/atomics/{atomic_unique_key} |
coc:documentAtomic:get |
- |
|
PUT /v1/documents/{document_id} |
coc:document:updateDocument |
- |
|
POST /v1/documents/{document_id} |
coc:document:execute |
- |
|
GET /v1/documents/{document_id} |
coc:document:getDocument |
- |
|
DELETE /v1/documents/{document_id} |
coc:document:deleteDocument |
- |
|
GET /v1/executions/{execution_id} |
coc:execution:get |
- |
|
GET /v1/executions/{execution_id}/steps |
coc:execution:listExecutionStep |
- |
|
GET /v1/executions |
coc:execution:list |
- |
|
GET /v1/executions/instances |
coc:execution:listExecutionStepInstance |
- |
|
POST /v1/executions |
coc:execution:operate |
- |
|
GET /v1/diagnosis/tasks |
coc:job:list |
- |
|
POST /v1/diagnosis/tasks |
coc:job:action |
aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:createDiagnosisTask dcs:instance:listDiagnosisTask dms:instance:getDetail dms:instance:getDiagnosisReport dms:instance:createDiagnosisTask dms:instance:listDiagnosisReport elb:members:show rds:instance:listAll |
|
GET /v1/diagnosis/tasks/{task_id}/node/{code} |
coc:job:get |
- |
|
GET /v1/diagnosis/tasks/{task_id} |
coc:job:get |
- |
|
POST /v1/diagnosis/tasks/{task_id}/retry |
coc:job:action |
aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:createDiagnosisTask dcs:instance:listDiagnosisTask dms:instance:getDetail dms:instance:getDiagnosisReport dms:instance:createDiagnosisTask dms:instance:listDiagnosisReport elb:members:show rds:instance:listAll |
|
POST /v1/diagnosis/tasks/{task_id}/cancel |
coc:job:action |
- |
|
GET /v1/diagnosis/tasks/{task_id}/summary |
coc:job:action |
- |
资源类型(Resource)
资源类型(Resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的策略语句中指定该资源的URN,策略仅作用于此资源;如未指定,Resource默认为“*”,则策略将应用到所有资源。您也可以在策略中设置条件,从而指定资源类型。
COC定义了以下可以在策略的Resource元素中使用的资源类型。
|
资源类型 |
URN |
|---|---|
|
instance |
ecs:<region>:<account-id>:instance:<server-id> |
|
document |
coc::<account-id>:document:<document-name> |
|
application |
coc::<account-id>:application:<application-code> |
|
resourceView |
coc::<account-id>:resourceView:<resourceViewId> |
|
schedule |
coc::<account-id>:schedule:<schedule-id> |
|
job |
coc::<account-id>:job:<job-id> |
|
faultMode |
coc::<account-id>:faultMode:<fault-mode-id> |
|
contingencyPlan |
coc::<account-id>:contingencyPlan:<contingency-plan-id> |
|
attackTask |
coc::<account-id>:attackTask:<attack-task-name> |
|
attackRecord |
coc::<account-id>:attackRecord:<attack-record-id> |
|
drillTask |
coc::<account-id>:drillTask:<drill-task-id> |
|
attackTargetRecord |
coc::<account-id>:attackTargetRecord:<attack-target-record-id> |
|
drillRecord |
coc::<account-id>:drillRecord:<drill-record-id> |
|
drillPlan |
coc::<account-id>:drillPlan:<drill-plan-id> |
|
slaTemplate |
coc::<account-id>:slaTemplate:<sla_template-id> |
|
parameter |
coc:<region>:<account-id>:parameter:<parameter-name> |
|
accountBaseline |
coc::<account-id>:accountBaseline:<account_baseline_id> |
|
provisionedProduct |
coc::<account-id>:provisionedProduct:<provisioned-product-id> |
|
product |
coc::<account-id>:product:<product-id> |
|
portfolio |
coc::<account-id>:portfolio:<portfolio-id> |
|
sloDiagram |
coc::<account-id>:sloDiagram:<diagram-id> |
|
template |
coc::<account-id>:template:<template-id> |
|
templateInstance |
coc::<account-id>:templateInstance:<template-instance-id> |
条件(Condition)
条件(Condition)是身份策略生效的特定条件,包括条件键和运算符。
- 条件键表示身份策略语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
- 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。
- 服务级条件键(前缀通常为服务缩写,如coc:)仅适用于对应服务的操作,详情请参见表4。
- 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
- 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符。
COC定义了以下可以在身份策略的Condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。
|
服务级条件键 |
类型 |
单值/多值 |
说明 |
|---|---|---|---|
|
coc:TicketLevel |
String |
单值 |
根据请求参数中的工单级别进行过滤访问。 |
|
coc:TicketCurrentHandlers |
String |
多值 |
根据请求参数中的工单操作人进行过滤访问。 |
|
coc:TicketStatus |
String |
单值 |
根据请求参数中的工单状态进行过滤访问。 |
|
coc:TicketType |
String |
单值 |
根据请求参数中的工单类型进行过滤访问。 |
|
coc:TicketBeginTime |
date |
单值 |
根据请求参数中的工单开始时间进行过滤访问。 |
|
coc:TicketEndTime |
date |
单值 |
根据请求参数中的工单结束时间进行过滤访问。 |
|
coc:OperatorName |
String |
单值 |
根据请求参数中的操作人进行过滤访问。 |
|
coc:RequestTarget |
String |
单值 |
根据请求参数中的提权应用进行过滤访问。 |
|
coc:TicketTarget |
String |
多值 |
根据请求参数中的工单应用进行过滤访问。 |
|
coc:TicketScope |
String |
多值 |
根据请求参数中的工单的范围进行过滤访问。 |
|
coc:RequestScope |
String |
单值 |
根据请求参数中的提权范围进行过滤访问。 |
|
coc:EscapeSwitchIsEnabled |
boolean |
单值 |
根据请求参数中的逃生开关进行过滤访问。 |
|
coc:Creator |
String |
单值 |
根据COC中的资源的创建人过滤访问。 |
|
coc:Executor |
String |
单值 |
根据COC中的工单指定的执行人过滤访问。 |
|
coc:DocumentRiskLevel |
String |
单值 |
根据请求参数中指定的文档风险等级过滤访问。 |
|
coc:JobType |
String |
单值 |
根据请求参数中指定的工单类型过滤访问。 |
|
coc:ApplicationCode |
String |
多值 |
根据请求参数中指定的应用编码过滤访问。 |
|
coc:ApplicationGroupCode |
String |
单值 |
根据请求参数中指定的应用分组编码过滤访问。 |
|
coc:AttackTargetType |
String |
单值 |
根据请求参数中攻击目标的类型进行过滤访问。 |
|
coc:QuickSetupType |
String |
单值 |
根据请求参数中请求配置类型进行过滤访问。 |
