文档首页 > > 系统权限
查看PDF

系统权限

分享
更新时间: 2020/07/01 GMT+08:00

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

所属区域:权限的生效区域,需要授权的服务的范围选择。
  • 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。
  • 区域级项目:服务部署时通过物理区域划分,在除全局区域外的其他区域中授权,并且只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。

权限类别:权限根据授权粒度分为角色和策略。策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。

  • 如果一个服务同时有策略和角色,建议优先选择策略进行授权。
  • 支持策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。单击下表中的“策略”,查看服务支持的自定义策略授权项。

BASE

服务

所属区域

系统权限

权限类别

权限描述

BASE

全局区域

FullAccess

策略

所有服务的所有权限。

全局区域

IAM ReadOnlyAccess

统一身份认证服务的只读权限,拥有对用户、用户组、策略、委托、账号安全设置等资源的查看权限,暂不包含项目和身份提供商查看权限。

所有区域

Tenant Guest

角色

除统一身份认证服务外,其他所有服务的只读权限。

所有区域

Tenant Administrator

除统一身份认证服务外,其他所有服务的所有执行权限。

全局区域

Security Administrator

统一身份认证服务的所有执行权限。

全局区域

Agent Operator

切换角色并访问委托方账号中的资源。

计算

服务

所属区域

系统权限

权限类别

权限描述

弹性云服务器(ECS)

(项目级服务)

除全局区域外的其他区域

ECS FullAccess

策略

弹性云服务器的所有执行权限。

ECS ReadOnlyAccess

弹性云服务器的只读权限。

ECS CommonOperations

开机、关机、重启、查询弹性云服务器。

Server Administrator

角色
  • 弹性云服务器的所有执行权限,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

    如果在操作过程中涉及其他服务资源的创建、删除、变更等,则还需要在同项目中勾选对应服务的Administrator权限

    例如:在控制台创建ECS时如需创建新的VPC,则需额外授予创建VPC的VPC Administrator权限。

云容器引擎(CCE)

(项目级服务)

除全局区域外的其他区域

CCE FullAccess

策略

具有CCE集群的所有读写权限(包含集群创建、删除、更新等)。

CCE ReadOnlyAccess

具有CCE集群的所有只读权限。

CCE Administrator

角色

具有CCE集群及集群下所有资源(包含工作负载、服务等)的读写权限。

该角色有依赖,需要同时又拥有以下权限:

全局服务:OBS Buckets Viewer。

区域级项目(在同项目中勾选):Tenant Guest、Server Administrator、ELB Administrator、OBS Admin、SFS Administrator、SWR Admin、APM FullAccess。

说明:

如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。

裸金属服务器(BMS)

(项目级服务)

除全局区域外的其他区域

BMS FullAccess

策略

裸金属服务器的所有执行权限。

BMS ReadOnlyAccess

裸金属服务器的只读权限。

BMS CommonOperations

开机、关机、重启、查询裸金属服务器。

弹性伸缩(AS)

(项目级服务)

除全局区域外的其他区域

AutoScaling FullAccess

策略

弹性伸缩全部资源的所有执行权限。

AutoScaling ReadOnlyAccess

弹性伸缩全部资源的只读权限。

AutoScaling Administrator

角色

对弹性伸缩全部资源的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的权限:ELB Administrator、CES Administrator。

镜像服务(IMS)

(项目级服务)

除全局区域外的其他区域

IMS FullAccess

策略

镜像服务的所有执行权限。

IMS ReadOnlyAccess

镜像服务的只读权限。

IMS Administrator

角色

镜像服务的所有执行权限。

该角色有依赖,需要勾选依赖的角色:Tenant Administrator。

Server Administrator

创建、删除、查询、修改及上传镜像,该角色有依赖,需要在同项目中勾选依赖的角色:IMS Administrator

云容器实例(CCI)

(项目级服务)

除全局区域外的其他区域

CCI Administrator

角色

云容器实例的所有执行权限。

CCI FullAccess

策略

云容器实例的所有执行权限。

CCI ReadOnlyAccess

云容器实例的只读权限。

函数工作流(FunctionGraph)

(项目级服务)

除全局区域外的其他区域

FunctionGraph Administrator

角色

FunctionGraph函数工作流、触发器的管理权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

FunctionGraph Invoker

FunctionGraph函数工作流、触发器的查询权限。

云手机(CPH)

(项目级服务)

除全局区域外的其他区域

CPH Administrator

角色

云手机的所有执行权限。

CPH User

云手机的只读权限。

存储

服务

所属区域

系统权限

权限类别

权限描述

对象存储服务(OBS)

(全局级服务)

全局区域

OBS OperateAccess

策略

查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

OBS ReadOnlyAccess

查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限,无其他权限。

OBS Buckets Viewer

角色

列举桶、获取桶基本信息、获取桶元数据的操作。

云硬盘(EVS)

(项目级服务)

除全局区域外的其他区域

EVS FullAccess

策略

云硬盘的所有执行权限。

EVS ReadOnlyAccess

云硬盘的只读权限。

Server Administrator

角色

云硬盘服务的所有执行权限。

云备份(CBR)

(项目级服务)

除全局区域外的其他区域

CBR FullAccess

策略

云备份管理员权限,拥有该权限的用户可以操作并使用所有存储库和策略。

CBR BackupsAndVaultsFullAccess

云备份普通用户权限,拥有该权限的用户可以创建、查看和删除存储库等。

CBR ReadOnlyAccess

云备份只读权限,拥有该权限的用户仅能查看云备份数据。

内容分发网络(CDN)

(全局级服务)

全局区域

CDN DomainReadOnlyAccess

策略

内容分发网络加速域名信息的只读权限。

CDN StatisticsReadOnlyAccess

内容分发网络统计信息的只读权限。

CDN LogsReadOnlyAccess

内容分发网络日志的只读权限。

CDN DomainConfigureAccess

内容分发网络加速域名的配置权限。

CDN RefreshAndPreheatAccess

内容分发网络刷新预热权限。

CDN Administrator

角色

内容分发网络的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

存储容灾服务(SDRS)

(项目级服务)

除全局区域外的其他区域

SDRS Administrator

角色

存储容灾服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

弹性文件服务(SFS)

(项目级服务)

除全局区域外的其他区域

SFS FullAccess

策略

弹性文件服务的所有执行权限。

SFS ReadOnlyAccess

弹性文件服务的只读权限。

SFS Administrator

角色

弹性文件服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云服务器备份(CSBS)

(项目级服务)

除全局区域外的其他区域

CSBS Administrator

角色

云服务器备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator。

云硬盘备份(VBS)

(项目级服务)

除全局区域外的其他区域

VBS Administrator

角色

云硬盘备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

网络

服务

所属区域

系统权限

权限类别

权限描述

虚拟私有云(VPC)

(项目级服务)

除全局区域外的其他区域

VPC FullAccess

策略

虚拟私有云的所有执行权限。

VPC ReadOnlyAccess

虚拟私有云的只读权限。

VPC Administrator

角色

虚拟私有云的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

Server Administrator

对弹性IP地址、安全组、端口进行任意操作。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest

弹性负载均衡(ELB)

(项目级服务)

除全局区域外的其他区域

ELB FullAccess

策略

弹性负载均衡的所有执行权限。

ELB ReadOnlyAccess

弹性负载均衡的只读权限。

ELB Administrator

角色

弹性负载均衡的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

NAT网关(NAT)

(项目级服务)

除全局区域外的其他区域

NAT FullAccess

策略

NAT网关的所有执行权限。

NAT ReadOnlyAccess

NAT网关的只读权限。

NAT Gateway Administrator

角色

NAT网关的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云专线(DC)

(项目级服务)

除全局区域外的其他区域

Direct Connect Administrator

角色

云专线服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云解析服务(DNS)

(项目级服务)

除全局区域外的其他区域

DNS Administrator

角色

云解析服务的所有执行权限。

DNS FullAccess

策略

云解析服务管理员权限,拥有该权限的用户可以拥有DNS的全部权限,包括创建、删除、查询、修改等操作。

DNS ReadOnlyAccess

云解析服务只读权限,拥有该权限的用户仅能查看DNS的资源。

VPC终端节点(VPCEP)

(项目级服务)

除全局区域外的其他区域

VPCEndpoint Administrator

角色

VPC终端节点的管理员权限,拥有该权限的用户拥有VPC终端节点所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator、VPC Administrator和DNS Administrator

安全

服务

所属区域

系统权限

权限类别

权限描述

Anti-DDoS流量清洗

(项目级服务)

除全局区域外的其他区域

Anti-DDoS Administrator

角色

Anti-DDoS流量清洗的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

DDoS高防(AAD)

(项目级服务)

除全局区域外的其他区域

CAD Administrator

角色

DDoS高防服务的所有执行权限。

漏洞扫描服务(VSS)

(项目级服务)

除全局区域外的其他区域

VSS Administrator

角色

漏洞扫描服务的所有执行权限。

企业主机安全(HSS)

(项目级服务)

除全局区域外的其他区域

HSS Administrator

角色

企业主机安全的所有执行权限。

HSS FullAccess

策略

企业主机安全服务所有权限。

HSS ReadOnlyAccess

企业主机安全服务的只读访问权限。

数据库安全服务(DBSS)

(项目级服务)

除全局区域外的其他区域

DBSS System Administrator

角色

数据库安全服务的所有执行权限。

DBSS Audit Administrator

数据库安全服务的安全审计权限。

DBSS Security Administrator

数据库安全服务的安全防护权限。

数据加密服务(DEW)(项目级服务)

除全局区域外的其他区域

KMS Administrator

角色

数据加密服务加密密钥的管理员权限。

KMS CMKFullAccess

策略

数据加密服务加密密钥所有权限。

DEW KeypairFullAccess

数据加密服务密钥对所有权限。

DEW KeypairReadOnlyAccess

数据加密服务密钥对查看权限。

安全专家服务(SES)

(项目级服务)

除全局区域外的其他区域

SES Administrator

角色

安全专家服务的所有执行权限。

Web应用防火墙(WAF)

(项目级服务)

除全局区域外的其他区域

WAF Administrator

角色

Web应用防火墙的所有执行权限。

该角色有依赖,需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。

WAF FullAccess

策略

Web应用防火墙服务的所有权限。

WAF ReadOnlyAccess

Web应用防火墙服务的只读访问权限。

SSL证书管理(SCM)

(全局级服务)

全局区域

SCM Administrator

角色

SSL证书管理服务的管理员权限,拥有服务的所有权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator

SCM FullAccess

策略

SSL证书管理服务的所有权限。

SCM ReadOnlyAccess

SSL证书管理服务只读权限,拥有该权限的用户仅能查询证书信息,不具备对证书进行增删改权限。

容器安全服务(CGS)

(项目级服务)

除全局区域外的其他区域

CGS FullAccess

策略

容器安全服务所有权限。

CGS ReadOnlyAccess

容器安全服务只读访问权限,拥有该权限的用户仅能查看容器安全服务。

CGS Administrator

角色

容器安全服务(CGS)管理员,拥有该服务下的所有权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest

态势感知(SA)

(全局级服务)

全局区域

SA FullAccess

策略

态势感知的所有权限。

SA ReadOnlyAccess

态势感知只读权限,拥有该权限的用户仅能查看态势感知数据,不具备态势感知配置权限。

管理与部署

服务

所属区域

系统权限

权限类别

权限描述

云监控

(项目级服务)

除全局区域外的其他区域

CES Administrator

角色

云监控服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

除全局区域外的其他区域

CES FullAccess

策略

云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用,支持策略授权的云服务列表请参考: 使用IAM授权的云服务

除全局区域外的其他区域

CES ReadOnlyAccess

云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用,支持策略授权的云服务列表请参考: 使用IAM授权的云服务

应用运维管理服务(AOM)

(项目级服务)

除全局区域外的其他区域

AOM FullAccess

策略

应用运维管理服务的所有执行权限。

AOM ReadOnlyAccess

应用运维管理服务的只读权限。

应用性能管理服务(APM)

(项目级服务)

除全局区域外的其他区域

APM FullAccess

策略

应用性能管理服务的所有执行权限。

APM ReadOnlyAccess

应用性能管理服务的只读权限。

云审计服务(CTS)

(项目级服务)

除全局区域外的其他区域

CTS Administrator

角色

云审计服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、以及Tenant Administrator

云日志服务(LTS)

(项目级服务)

除全局区域外的其他区域

LTS FullAccess

策略

云日志服务的所有执行权限。

LTS ReadOnlyAccess

云日志服务的只读权限。

LTS Administrator

角色

云日志服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、以及Tenant Administrator

标签管理服务(TMS)

(全局级服务)

全局区域

TMS Administrator

角色

标签管理服务的所有执行权限。

云堡垒机(CBH)

项目级服务

除全局区域外的其他区域

CBH FullAccess

策略

云堡垒机实例的所有权限。

CBH ReadOnlyAccess

云堡垒机实例只读权限,拥有该权限的用户仅能查看云堡垒机服务,不具备服务配置和操作权限。

应用服务

服务

所属区域

系统权限

权限类别

权限描述

应用管理与运维平台(ServiceStage)

云性能测试服务

(CPTS)

(项目级服务)

除全局区域外的其他区域

SvcStg Admin

角色
  • 应用管理与运维平台的所有执行权限,包括服务管理权限、应用管理权限、节点管理权限、堆栈管理权限、流水线管理权限。
  • 拥有该权限的用户对CPTS的所有用户下的测试资源具有执行权限(如增删改查),能够操作所有用户的测试资源。

SvcStg Developer
  • 应用管理与运维平台的普通用户权限,与所有执行权限相比,没有节点管理权限。
  • 拥有该权限的用户只对本用户测试资源具有执行权限(如增删改查)

SvcStg Operator
  • 应用管理与运维平台的只读权限。
  • 对本用户测试资源具有可读权限。

分布式缓存服务(DCS)

(项目级服务)

除全局区域外的其他区域

DCS FullAccess

策略

分布式缓存服务的所有执行权限。

DCS UseAccess

分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。

DCS ReadOnlyAccess

分布式缓存服务的只读权限。

DCS Administrator

角色

分布式缓存服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

分布式消息服务(DMS)

(项目级服务)

除全局区域外的其他区域

DMS Administrator

角色

分布式消息服务的所有执行权限。

分布式消息服务(DMS KafkaDMS RabbitMQ

(项目级服务)

除全局区域外的其他区域

DMS UseAccess

策略(DMS Kafka)

策略(DMS RabbitMQ)

分布式消息服务(DMS Kafka、DMS RabbitMQ)普通用户权限(没有实例创建、修改、删除、扩容、转储)。

DMS ReadOnlyAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)的只读权限,拥有该权限的用户仅能查看分布式消息服务数据。

DMS FullAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)管理员权限,拥有该权限的用户可以操作所有分布式消息服务的功能。

消息通知服务(SMN)

(项目级服务)

除全局区域外的其他区域

SMN Administrator

角色

消息通知服务的所有执行权限。

API网关(APIG)

(项目级服务)

除全局区域外的其他区域

APIG Administrator

角色

API网关服务的所有执行权限。

容器镜像服务(SWR)

(项目级服务)

除全局区域外的其他区域

SWR Admin

角色

容器镜像服务的所有执行权限。

专属云

服务

所属区域

系统权限

权限类别

权限描述

专属分布式存储服务(DSS)

(项目级服务)

除全局区域外的其他区域

DSS FullAccess

角色

专属分布式存储服务的所有执行权限。

DSS ReadOnlyAccess

专属分布式存储服务的只读权限。

数据库

服务

所属区域

系统权限

权限类别

权限描述

关系型数据库(RDS)

(项目级服务)

除全局区域外的其他区域

RDS FullAccess

策略

关系型数据库的所有执行权限。

RDS ReadOnlyAccess

关系型数据库的只读权限。

RDS UserAccess

关系型数据库除删除操作外的DBA权限。

RDS Administrator

角色

关系型数据库的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

文档数据库服务(DDS)

(项目级服务)

除全局区域外的其他区域

DDS FullAccess

策略

文档数据库服务的所有执行权限。

DDS ReadOnlyAccess

文档数据库服务的只读权限。

DDS ManageAccess

文档数据库服务除删除操作外的DBA权限。

DDS Administrator

角色

文档数据库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator

如果配置了DDS企业项目,需要在同项目中勾选DAS Admin,才可以通过DDS界面登录到DAS服务。

数据复制服务(DRS)

(项目级服务)

除全局区域外的其他区域

DRS Administrator

角色

数据复制服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

数据管理服务(DAS)

(项目级服务)

除全局区域外的其他区域

DAS Administrator

角色

数据管理服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

分布式数据库中间件(DDM)

(项目级服务)

除全局区域外的其他区域

DDM FullAccess

策略

分布式数据库中间件的所有执行权限。

DDM CommonOperations

分布式数据库中间件的普通权限。

普通权限与所有执行权限比较,普通权限不具备以下操作权限:

  • 购买DDM实例
  • 删除DDM实例
  • 平滑扩容
  • 扩容失败-回滚、扩容失败-清理

DDM ReadOnlyAccess

分布式数据库中间件的只读权限。

迁移

服务

所属区域

系统权限

权限类别

权限描述

云数据迁移(CDM)

(项目级服务)

除全局区域外的其他区域

CDM Administrator

角色

云数据迁移的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

CDM FullAccess

策略

CDM管理员权限,拥有CDM服务所有权限。

CDM FullAccessExceptUpdateEIP

拥有除绑定/解绑EIP外的所有CDM服务权限。

CDM CommonOperations

拥有CDM作业和连接的操作权限。

CDM ReadOnlyAccess

CDM服务只读权限,拥有该权限的用户仅能查看CDM集群、连接、作业。

EI 企业智能

服务

所属区域

系统权限

权限类别

权限描述

ModelArts

(项目级服务)

除全局区域外的其他区域

ModelArts FullAccess

策略

ModelArts管理员权限,拥有ModelArts所有的权限。

ModelArts CommonOperations

ModelArts操作权限,拥有除了管理专属资源池之外的所有操作权限。

智能数据湖运营平台(DAYU)

(项目级服务)

除全局区域外的其他区域

DAYU Administrator

角色

智能数据湖运营平台服务的所有执行权限。

DAYU User

智能数据湖运营平台服务的只读权限。

MapReduce服务(MRS)

(项目级服务)

除全局区域外的其他区域

MRS FullAccess

策略

MapReduce服务的所有执行权限。

MRS CommonOperations

MapReduce服务的普通用户权限(无新增、删除资源权限)。

MRS ReadOnlyAccess

MapReduce服务的只读权限。

MRS Administrator

角色

MapReduce服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

数据仓库服务(DWS)

(项目级服务)

除全局区域外的其他区域

DWS FullAccess

策略

数据仓库服务的所有执行权限。

DWS ReadOnlyAccess

数据仓库服务的只读权限。

DWS Administrator

角色

数据仓库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

DWS Database Access

数据仓库服务数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。

数据湖探索(DLI)

(项目级服务)

除全局区域外的其他区域

DLI Service Admin

角色

数据湖探索的所有执行权限。

DLI Service User

数据湖探索的使用权限,无创建资源权限。

图引擎服务(GES)

(项目级服务)

除全局区域外的其他区域

GES Administrator

角色

图引擎服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

GES Manager

GES服务高级用户,可以对GES资源执行除创建图和删除图以外的任意操作。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

GES Operator

只读图、访问图权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

除全局区域外的其他区域

GES FullAccess

策略

图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。

GES Development

图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图以外所有操作。

GES ReadOnlyAccess

图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。

云搜索服务(CSS)

(项目级服务)

除全局区域外的其他区域

Elasticsearch Administrator

角色

云搜索服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

数据接入服务(DIS)

(项目级服务)

除全局区域外的其他区域

DIS Administrator

角色

数据接入服务的所有执行权限。

DIS Operator

通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。

DIS User

通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。

实时流计算服务(CS)

(项目级服务)

除全局区域外的其他区域

CS FullAccess

策略

实时流计算服务的所有执行权限。

CS CommonOperations

实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。

CS ReadOnlyAccess

实时流计算服务只读权限,拥有该权限的用户仅能查看实时流计算服务的作业、模板和独享集群。

CS Tenant User

角色

实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。

CS Tenant Admin

实时流计算服务管理员权限,拥有实时流计算服务所有权限。

操作权限:

  • 创建、删除、修改作业、模板和独享集群。
  • 为具有CS CommonOperations权限的子用户分配可用集群和可用配额。
  • 查看独享集群里的所有用户作业。

表格存储服务(CloudTable)

(项目级服务)

除全局区域外的其他区域

CloudTable

Administrator

角色

表格存储服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

数据湖工厂(DLF)

(项目级服务)

除全局区域外的其他区域

DLF Administrator

角色

数据湖工厂的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Administrator。

DLF FullAccess

策略

数据湖工厂服务所有权限。

DLF Development

数据湖工厂服务的开发者权限,拥有该权限的用户能使用DLF进行脚本开发与作业编排,但是不具备对工作区的增删改权限。

DLF OperationAndMaintenanceAccess

数据湖工厂服务的运维人员权限,拥有该权限的用户可以对DLF的脚本与作业等资源进行运维,但不具备对各种资源的增删改权限。

DLF ReadOnlyAccess

数据湖工厂服务的只读权限,拥有该权限的用户仅能查看DLF的资源。

推荐系统(RES)

(项目级服务)

除全局区域外的其他区域

RES FullAccess

策略

推荐系统的所有执行权限。

RES ReadOnlyAccess

推荐系统的只读权限。

对话机器人服务(CBS)

(项目级服务)

除全局区域外的其他区域

CBS Administrator

角色

对话机器人服务的所有执行权限。

CBS Guest

对话机器人服务的只读权限。

华为HiLens

(项目级服务)

除全局区域外的其他区域

HiLens FullAccess

策略

Huawei HiLens管理员权限,拥有该权限的用户可以操作并使用所有Huawei HiLens服务。

HiLens CommonOperations

Huawei HiLens操作权限,拥有该权限的用户拥有Huawei HiLens服务的操作权限除了注销设备、下架技能的权限。

HiLens ReadOnlyAccess

Huawei HiLens只读权限,拥有该权限的用户仅能查看Huawei HiLens服务的数据。

企业应用

服务

所属区域

系统权限

权限类别

权限描述

应用与数据集成平台(ROMA)

(项目级服务)

除全局区域外的其他区域

ROMA Administrator

角色

ROMA管理员权限,拥有该权限的用户可以操作并使用所有ROMA功能。

云通信

服务

所属区域

系统权限

权限类别

权限描述

语音通话(VoiceCall)

消息&短信(MSGSMS)

隐私保护通话(PrivateNumber)

(项目级服务)

除全局区域外的其他区域

RTC Administrator

角色

语音通话、消息&短信、隐私保护通话的所有执行权限。

视频

服务

所属区域

系统权限

权限类别

权限描述

媒体处理(MPC)

(项目级服务)

除全局区域外的其他区域

MPC Administrator

角色

媒体处理的所有执行权限。

视频点播服务(VOD)

(项目级服务)

除全局区域外的其他区域

VOD Administrator

角色

视频点播服务里的所有操作权限,操作对象为所有的视频文件。

VOD Group Administrator

除全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。

VOD Group Operator

除发布媒资、取消发布媒资、删除媒资、全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。

VOD Group Guest

仅具备查询视频文件的权限,操作对象为用户所在组创建的视频文件。

用户服务

服务

所属区域

系统权限

权限类别

权限描述

业务支撑系统(BSS)

(项目级服务)

除全局区域外的其他区域

须知:

授权时,除了全局区域外,需要授予其他所有区域的权限。

BSS Administrator

角色

费用中心、资源中心、账号中心的所有执行权限。

BSS Operator

费用中心的查询权限,资源中心和账号中心的管理权限。

BSS Finance

财务相关的操作权限,可以提供支付、消费、发票等财务相关功能,不提供云服务的变更等功能。

EnterpriseProject BSS FullAccess

策略

企业项目费用的管理权限。

企业项目管理服务(EPS)

(全局级服务)

全局区域

EPS FullAccess

策略
  • 企业管理的管理员权限,包括企业项目以及人员管理的所有权限,可以创建企业、迁移资源、添加移除用户组,为用户组设置策略等。由管理员在IAM侧的全局服务中设置。
  • 单个企业项目的管理员权限,仅拥有指定企业项目的权限,包括修改、启用、停用、查看企业项目。可以由管理员以及具备IAM侧EPS FullAccess的用户在企业管理中设置。

EPS ReadOnlyAccess

企业项目的只读权限,拥有该权限的用户可以执行查询操作。

  • 企业管理的只读权限,可以查看所有企业项目以及用户信息。由管理员在IAM侧的全局服务中设置。
  • 单个企业项目的只读权限,可以由管理员以及具备IAM侧EPS FullAccess的用户在企业管理中设置。

工单管理(Service Ticket)

(全局级服务)

全局区域

Ticket Administrator

角色

工单管理的所有执行权限。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问