文档首页> > 权限策略

权限策略

分享
更新时间: 2019/04/24 14:53

给用户组配置权限策略,再将用户加入用户组中,可以使用户获得权限策略中定义的操作权限。

权限策略包括系统策略和自定义策略两种。系统策略是IAM预置的策略,用户只能使用不能修改。若系统策略不满足授权要求,用户可以创建自定义策略,自由搭配需要授予的权限集。

登录管理控制台,在“统一身份认证”页面的左侧导航树单击“策略”,可以查看所有系统策略和自定义策略。如果要查看权限策略的详细信息(JSON格式),可单击目标策略名称,查看策略内容

系统策略列表

说明:
  • 作用范围:权限策略生效的区域。华为云的服务按部署的位置分为全局级服务和项目级服务。
    • 全局级服务:该服务部署时不区分物理区域,为全局级服务。该服务的授权需要在全局项目中进行。
    • 项目级服务:该服务部署时通过物理区域划分,为项目级服务。该服务的授权需要在对应区域中进行,并且只在对应区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
  • 权限粒度:服务提供的最小授权粒度。当前支持的权限粒度包括服务级别和操作级别两种。
    • 服务级别:将服务作为一个整体进行授权。
    • 操作级别:将API接口定义的操作进行精细授权。

    只有权限粒度为操作级别的服务,支持创建自定义策略,以便精确地允许或拒绝某个用户对单个服务或多个服务的指定资源类型进行某几个指定的操作。

服务

系统策略

操作权限

权限粒度

BASE

Security Administrator

操作权限:

  • 创建、删除、修改用户。
  • 为用户授权。

作用范围:全局级服务。

-

Agent Operator

操作权限:切换角色并访问委托方账号中的资源。

作用范围:全局级服务。

Tenant Administrator

操作权限:

  • 对账号中心、费用中心和资源中心执行任意操作。
  • 对账号拥有的所有云资源执行任意操作。

作用范围:全局级服务/项目级服务。

Full Access

操作权限:对账号拥有的所有云资源的所有执行权限。

作用范围:全局级服务。

Tenant Guest

操作权限:对账号拥有的所有云资源的只读权限。

作用范围:全局级服务/项目级服务。

弹性云服务器(ECS)

云硬盘(EVS)

虚拟私有云(VPC)

镜像服务(IMS)

Server Administrator

操作权限:

  • 创建、删除、修改弹性云服务器。
  • 创建、删除、修改云硬盘。
  • 同时拥有Tenant Guest权限时,可以对安全组、安全组规则、端口、防火墙、弹性IP地址、带宽执行任意操作。
  • 创建、删除、查询,修改镜像。

作用范围:项目级服务。

-

对象存储服务(OBS)

OBS Buckets Viewer

操作权限:可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。

作用范围:对象存储服务

服务级别

OBS Viewer

操作权限:可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。

作用范围:对象存储服务

操作级别

支持的授权项请参见:自定义策略支持的Action

弹性云服务器(ECS)

ECS Admin

操作权限:对弹性云服务器的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

ECS Viewer

操作权限:对弹性云服务器的只读权限。

作用范围:项目级服务。

ECS User

操作权限:开机、关机、重启、查询弹性云服务器。

作用范围:项目级服务。

裸金属服务器(BMS)

BMS Admin

操作权限:对裸金属服务器的所有执行权限。

作用范围:项目级服务。

操作级别

BMS Viewer

操作权限:对裸金属服务器的只读权限。

作用范围:项目级服务。

BMS User

操作权限:开机、关机、重启、查询裸金属服务器。

作用范围:项目级服务。

弹性伸缩(AS)

AutoScaling Admin

操作权限:对弹性伸缩全部资源的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

AutoScaling Viewer

操作权限:对弹性伸缩全部资源的只读权限。

作用范围:项目级服务。

AutoScaling Administrator

操作权限:

  • 对弹性伸缩全部资源的所有执行权限。拥有该权限的用户必须同时拥有Server Administrator和Tenant Guest权限。
  • 如果需要使用与ELB和CES相关的功能,还要拥有ELB Administrator和CES Administrator权限。

作用范围:项目级服务。

服务级别

镜像服务(IMS)

IMS Admin

操作权限:对镜像服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

IMS Viewer

操作权限:对镜像服务的只读权限。

作用范围:项目级服务。

IMS Administrator

操作权限:

  • 对镜像服务的所有执行权限。
  • 拥有该权限的用户同时拥有Tenant Guest(OBS部署区域)权限时,可以使用镜像文件创建镜像。

作用范围:项目级服务。

云硬盘(EVS)

EVS Admin

操作权限:对云硬盘的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

EVS Viewer

操作权限:对云硬盘的只读权限。

作用范围:项目级服务。

存储容灾服务(SDRS)

SDRS Administrator

操作权限:

  • 对存储容灾服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest权限和Server Administrator权限。

作用范围:项目级服务。

服务级别

云服务器备份(CSBS)

CSBS Administrator

操作权限:

拥有该权限的用户可以删除云服务器备份。同时拥有Server Administrator权限时,可以创建云服务器备份、恢复云服务器和管理备份策略。

如果没有Server Administrator权限:

  • 当用户创建备份和恢复云服务器时,无法获取到云服务器信息。
  • 当用户将云服务器绑定到备份策略时,无法获取到云服务器信息。

作用范围:项目级服务。

服务级别

云硬盘备份(VBS)

VBS Administrator

操作权限:

拥有该权限的用户同时拥有Server Administrator和Guest权限时,可以执行以下操作:

  • 创建云硬盘备份
  • 删除云硬盘备份
  • 恢复云硬盘

作用范围:项目级服务。

服务级别

专属分布式存储服务(DSS)

DSS Admin

操作权限:对专属分布式存储服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

DSS Viewer

操作权限:对专属分布式存储服务的只读权限。

作用范围:项目级服务。

虚拟私有云(VPC)

VPC Admin

操作权限:对虚拟私有云的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

VPC Viewer

操作权限:对虚拟私有云的只读权限。

作用范围:项目级服务。

VPC Administrator

操作权限:对虚拟私有云的所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest权限。

作用范围:项目级服务。

服务级别

云容器引擎(CCE)

CCE Admin

操作权限:对云容器引擎服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

CCE Viewer

操作权限:对云容器引擎服务的只读权限以及对kubernetes资源的所有执行权限。

作用范围:项目级服务。

CCE Administrator

操作权限:

对云容器引擎服务的所有执行权限。拥有该权限的用户必须同时拥有ECS Administrator、VPC Administrator、EVS Administrator、IMS Administrator、SvcStg Admin、SWR Admin权限以及全局对象存储服务的Tenant Administrator权限。

  • 如果同时拥有ELB Administrator权限,则可以在集群中使用弹性负载均衡的相关功能。
  • 如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。
  • 如果同时拥有SFS Administrator权限,则可以操作存储管理相关的所有操作。

作用范围:项目级服务。

服务级别

云容器实例(CCI)

CCI Admin

操作权限:云容器实例服务管理员权限。

作用范围:项目级服务。

服务级别

数据接入服务(DIS)

DIS Administrator

操作权限:对数据接入服务的所有执行权限。

作用范围:项目级服务。

服务级别

DIS Operator

操作权限:通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。

作用范围:项目级服务

服务级别

DIS User

操作权限:通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。

作用范围:项目级服务

服务级别

数据仓库服务(DWS)

DWS Admin

操作权限:对数据仓库服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

DWS Viewer

操作权限:对数据仓库服务的只读权限。

作用范围:项目级服务。

DWS Administrator

操作权限:

  • DWS管理员权限,可以对DWS资源执行任意操作,拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。
  • 拥有VPC Administrator权限的DWS用户可以创建VPC或子网。
  • 拥有云监控Administrator权限的DWS用户,可以查看DWS集群的监控指标信息。

作用范围:项目级服务。

服务级别

DWS Database Access

操作权限:DWS数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。

作用范围:项目级服务。

服务级别

表格存储服务(CloudTable)

CloudTable

Administrator

操作权限:

CloudTable管理员权限,可以对CloudTable资源执行任意操作,拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。

拥有该权限的用户可以执行的操作如下:

  • 创建、重启、删除CloudTable集群。
  • 开启OpenTSDB功能,开启GeoMesa功能。
  • 查看、配置CloudTable集群参数。
  • 查看CloudTable服务概览信息、集群列表、集群详细信息。
  • 查看CloudTable服务监控信息、告警列表。
  • 查询CloudTable服务操作日志。

作用范围:项目级服务。

服务级别

数据湖工厂(DLF)

DLF Administrator

操作权限:

  • 对数据湖工厂的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Administrator权限。

作用范围:项目级服务。

服务级别

深度学习服务(DLS)

DLS Service User

操作权限:对深度学习服务的所有执行权限。

作用范围:项目级服务。

服务级别

机器学习服务(MLS)

MLS Administrator

操作权限:

  • 对机器学习服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。

作用范围:项目级服务。

服务级别

数据湖探索(DLI)

DLI Service Admin

操作权限:对数据湖探索的所有执行权限。

作用范围:项目级服务。

服务级别

DLI Service User

操作权限:对数据湖探索的使用权限。无创建资源权限。

作用范围:项目级服务。

图引擎服务(GES)

GES Administrator

操作权限:

  • 对图引擎服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。

作用范围:项目级服务。

服务级别

GES Operator

操作权限:

  • 只读图、访问图。
  • 拥有该权限的用户必须同时拥有Tenant Guest权限。

作用范围:项目级服务。

云数据迁移(CDM)

CDM Administrator

操作权限:

  • CDM管理员权限,可以对CDM资源执行任意操作,拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限时。
  • 拥有VPC Administrator权限的CDM用户可以创建VPC或子网。
  • 拥有云监控Administrator权限的CDM用户,可以查看DWS集群的监控指标信息。

作用范围:项目级服务。

服务级别

云搜索服务(CSS)

Elasticsearch Administrator

操作权限:

  • 对云搜索服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Server Administrator和Tenant Guest权限。

作用范围:项目级服务。

服务级别

云日志服务(LTS)

LTS Viewer

操作权限:云日志服务只读权限。

作用范围:项目级服务。

操作级别

LTS Admin

操作权限:云日志服务所有权限。

作用范围:项目级服务。

LTS Administrator

操作权限:云日志服务所有执行权限。

作用范围:项目级服务。

服务级别

云解析服务(DNS)

DNS Administrator

操作权限:云解析服务所有执行权限。

作用范围:项目级服务。

服务级别

云审计服务(CTS)

CTS Administrator

操作权限:

云审计服务所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest和Tenant Administrator(OBS部署区域)权限,可执行以下操作:

  • 开通服务。
  • 创建、修改、停用、启用追踪器。
  • 接收、查看事件。
  • 存储用户事件到OBS桶。

作用范围:项目级服务。

服务级别

标签管理服务(TMS)

TMS Administrator

操作权限:创建、修改、删除预定义标签。

作用范围:全局级服务。

服务级别

消息通知服务(SMN)

SMN Administrator

操作权限:消息通知服务所有执行权限。

作用范围:项目级服务。

服务级别

云手机(CPH)

CPH Administrator

操作权限:云手机所有执行权限。拥有该权限的用户必须同时拥有购买相关的权限。

作用范围:项目级服务。

服务级别

CPH User

操作权限:对云手机的只读权限。

作用范围:项目级服务。

服务级别

资源模板服务(RTS)

RTS Administrator

操作权限:

对资源模板服务的所有执行权限。如果要编排某个资源,必须同时拥有该资源的Administrator权限,例如:

  • 拥有Server Administrator权限的用户可以创建ECS、VPC、EVS、IMS资源的堆栈。
  • 拥有ELB Administrator权限的用户可以创建ELB资源的堆栈。

作用范围:项目级服务。

服务级别

关系型数据库(RDS)

RDS Admin

操作权限:对关系型数据库的所有执行权限。

作用范围:全局级服务/项目级服务。

操作级别

RDS Viewer

操作权限:对关系型数据库的只读权限。

作用范围:全局级服务/项目级服务。

RDS DBA

操作权限:关系型数据库除删除操作外的DBA权限。

作用范围:全局级服务/项目级服务。

RDS Administrator

操作权限:

  • 对关系型数据库的所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。
  • 拥有VPC Administrator权限的用户可以创建VPC或子网。
  • 拥有CES Administrator权限的用户可以修改或添加实例的告警规则。
  • 拥有TMS Administrator权限的用户,可以联动查询到TMS标签管理服务的预定义标签,并可在TMS服务创建、修改和删除预定义标签。
  • 拥有KMS Administrator权限的用户,支持在密钥管理服务购买密钥并对RDS实例进行加密。
  • 拥有Security Administrator权限的用户,可以在购买关系型数据库实例时,合并购买数据库安全服务。

作用范围:项目级服务。

服务级别

分布式消息服务(DMS)

DMS Administrator

操作权限:对分布式消息服务的所有执行权限。

作用范围:项目级服务。

-

文档数据库服务(DDS)

DDS Admin

操作权限:对文档数据库服务的所有执行权限。

作用范围:全局级服务/项目级服务。

操作级别

DDS Viewer

操作权限:对文档数据库服务的只读权限。

作用范围:全局级服务/项目级服务。

DDS DBA

操作权限:文档数据库服务除删除操作外的DBA权限。

作用范围:全局级服务/项目级服务。

DDS Administrator

操作权限:

  • 对文档数据库服务的所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。
  • 拥有VPC Administrator权限的用户可以创建VPC或子网。
  • 拥有CES Administrator权限的用户可以修改或添加实例的告警规则。
  • 拥有TMS Administrator权限的用户,可以联动查询到TMS标签管理服务的预定义标签,并可在TMS服务创建、修改和删除预定义标签。
  • 拥有KMS Administrator权限的用户,支持在密钥管理服务购买密钥并对文档数据库实例进行加密。

作用范围:项目级服务。

服务级别

数据复制服务(DRS)

DRS Administrator

操作权限:

  • 对数据复制服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。

作用范围:项目级服务。

服务级别

数据管理服务(DAS)

DAS Administrator

操作权限:

  • 对数据管理服务的所有执行权限。
  • 拥有该权限的用户必须拥有Tenant Guest权限。

作用范围:项目级服务。

服务级别

分布式数据库中间件(DDM)

DDM Admin

操作权限:具备DDM服务管理员权限,能执行DDM的所有操作。

作用范围:项目级服务。

操作级别

DDM User

操作权限:具备DDM服务普通权限。

普通权限和管理员权限比较,普通权限不具备以下操作权限:

  • 购买DDM实例
  • 删除DDM实例
  • 平滑扩容
  • 扩容失败-回滚、扩容失败-清理

作用范围:项目级服务。

DDM Viewer

操作权限:具备DDM服务查看权限。

作用范围:项目级服务。

应用运维管理服务(AOM)

AOM Admin

操作权限:对应用运维管理服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

AOM Viewer

操作权限:对应用运维管理服务的只读权限。

作用范围:项目级服务。

应用性能管理服务(APM)

APM Admin

操作权限:对应用性能管理服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

APM Viewer

操作权限:对应用性能管理服务的只读权限。

作用范围:项目级服务。

API网关(APIG)

APIG Administrator

操作权限:对API网关服务的所有执行权限。

作用范围:项目级服务。

服务级别

容器镜像服务(SWR)

SWR Admin

操作权限:普通开发者权限,对资源的权限管理取决于Tenant Administrator的授权。

作用范围:全局级服务。

操作级别

ServiceStage Developer

操作权限:普通开发者权限,对资源的权限管理取决于Tenant Administrator的授权。

作用范围:全局级服务。

Tenant Administrator

操作权限:对组织,仓库,镜像,流水线,流水线组等资源的创建,删除,更新,授权等所有权限。

作用范围:全局级服务。

Tenant Guest

操作权限:如果Tenant Administrator授权,最多对资源有只读权限。

作用范围:全局级服务。

云监控服务(Cloud Eye)

CES Administrator

操作权限:

  • 查看监控指标。
  • 添加、修改和删除告警规则。
  • 拥有该权限的用户必须同时拥有Tenant Guest权限。

作用范围:项目级服务。

服务级别

Web应用防火墙(WAF)

WAF Administrator

操作权限:

  • 创建、删除WAF实例。
  • 配置、开启、停止WAF实例。
  • 修改WAF实例防护策略。
  • 配置WAF实例告警通知。
  • 查询WAF实例列表、WAF实例详情。
  • 对WAF实例域名进行认证。

作用范围:项目级服务。

服务级别

企业主机安全(HSS)

HSS Administrator

操作权限:

  • 开启、关闭主机防护。
  • 进行手动检测。
  • 设置告警信息、进行安全配置。
  • 查看总览中概览信息。
  • 查看云服务器列表、风险详情。
  • 查看资产管理、漏洞管理、入侵检测、基线检查中各个特性的报告。

作用范围:项目级服务。

服务级别

SSL证书管理(SCM)

SC Administrator

操作权限:对SSL证书管理的所有执行权限。

作用范围:全局级服务/项目级服务。

服务级别

漏洞扫描服务(VSS)

VSS Administrator

操作权限:

  • 创建、重启、取消扫描任务。
  • 查询任务列表、任务详情。
  • 查询漏洞列表、漏洞详情。
  • 对漏洞进行误报标记。
  • 对域名进行认证。

作用范围:项目级服务。

服务级别

容器安全服务(CGS)

CGS Administrator

操作权限:

  • 安装、卸载容器安全Shield。
  • 开启、关闭节点防护。
  • 添加、编辑、删除、应用策略。
  • 忽略镜像上的漏洞。
  • 取消忽略镜像上的漏洞。
  • 查看集群列表、节点列表。
  • 查看策略列表、镜像应用的策略。
  • 查看漏洞信息。
  • 查看容器运行时的异常信息。

作用范围:项目级服务。

服务级别

安全专家服务(SES)

SES Administrator

操作权限:

  • 购买安全专家服务。
  • 补充、修改服务单信息。
  • 查看服务单列表、服务单详情。
  • 对待评测/加固/监测的主机/域名进行认证。
  • 下载评测报告。
  • 评价安全专家服务。

作用范围:项目级服务。

服务级别

数据库安全服务(DBSS)

DBSS System Administrator

  • 数据库安全防护操作权限:
    • 购买实例。
    • 删除实例。
    • 获取实例列表。
    • 开启、关闭、重启实例。
    • 升级服务实例。
    • 绑定、解绑弹性IP地址。
    • 登录数据库安全服务管理控制台。
  • 数据库安全审计操作权限:
    • 购买实例。
    • 删除实例。
    • 开启、关闭、重启实例。
    • 升级服务实例。
    • 绑定、解绑弹性IP地址。
    • 获取实例列表。
    • 获取基本信息。
    • 获取审计概况。
    • 获取监控信息。
    • 获取操作日志。
    • 数据库管理。
    • Agent管理。
    • 邮件设置。
    • 备份与恢复。
说明:

购买实例需要同时具有VPC和BSS权限。

作用范围:项目级服务。

服务级别

DBSS Audit Administrator

  • 数据库安全防护操作权限:
    • 获取实例列表。
    • 登录数据库安全服务管理控制台。
  • 数据库安全审计操作权限:
    • 获取实例列表。
    • 获取基本信息。
    • 获取审计概况。
    • 获取报表结果。
    • 获取规则信息。
    • 获取语句信息。
    • 获取会话信息。
    • 获取监控信息。
    • 获取操作日志。
    • 获取数据库列表。
    • 报表管理。

作用范围:项目级服务。

DBSS Security Administrator

  • 数据库安全防护操作权限:
    • 获取实例列表。
    • 登录数据库安全服务管理控制台。
  • 数据库安全审计操作权限:
    • 获取实例列表。
    • 获取基本信息。
    • 获取审计概况。
    • 获取报表结果。
    • 获取规则信息。
    • 获取语句信息。
    • 获取会话信息。
    • 获取监控信息。
    • 获取操作日志。
    • 获取数据库列表。
    • 审计规则设置。
    • 告警监控设置。
    • 报表管理。

作用范围:项目级服务。

数据加密服务(DEW)

KMS Administrator

操作权限:

  • 密钥管理

    拥有该权限的用户可以执行以下操作:

    • 创建、启用、禁用、计划删除、取消计划删除密钥。
    • 查询密钥列表。
    • 查询密钥信息。
    • 创建随机数、数据密钥、不含明文数据密钥。
    • 加密、解密数据密钥。
    • 修改密钥别名和描述。
    • 创建、查询、撤销、退役授权。
    • 导入、删除密钥材料。
    • 添加、删除、查询密钥标签。
  • 密钥对管理

    同时拥有该权限和Server Administrator权限可以执行以下操作:

    • 创建、导入、删除密钥对。
    • 查询密钥对列表。
    • 查询密钥对信息。
    • 重置、替换、绑定、解绑密钥对。
    • 导入、导出、清除私钥。
    • 查询、删除任务失败记录。
  • 专属加密

    拥有该权限的用户可以执行以下操作:

    • 订购询价、提交订单、获取订单信息、付款。
    • 查询专属加密实例列表。
    • 查询网络信息。
    • 查询子网下已用IP地址。
    • 查询产品规格。
    • 获取验证码、校验验证码。

作用范围:项目级服务。

服务级别

智能验证码服务(ICS)

ICS Administrator

操作权限:

  • 购买智能验证码服务流量资源。
  • 新增、删除、查看智能验证码ID和KEY。
  • 查看智能验证码数据统计信息。
  • 设置智能验证码告警通知信息。

作用范围:项目级服务。

服务级别

Anti-DDoS流量清洗

Anti-DDoS Administrator

操作权限:拥有该权限且同时拥有Tenant Guest权限,并能获取VPC的EIP列表的用户,拥有对Anti-DDoS流量清洗服务的所有执行权限。

作用范围:项目级服务。

服务级别

DDoS高防(AAD)

CAD Administrator

操作权限:拥有该权限的用户,可以对DDoS高防服务执行任意操作,但不可购买新实例。如果需要购买新实例,请使用Tenant Administrator权限。

作用范围:项目级服务。

服务级别

视频点播服务(VOD)

VOD Administrator

操作权限:具有视频点播服务里的所有操作权限,操作对象为所有的视频文件。

作用范围:项目级服务。

服务级别

VOD Group Administrator

操作权限:具有除全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。

作用范围:项目级服务。

VOD Group Operator

操作权限:具有除发布媒资、取消发布媒资、删除媒资、全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。

作用范围:项目级服务。

VOD Group Guest

操作权限:仅具备查询视频文件的权限,操作对象为用户所在组创建的视频文件。

作用范围:项目级服务。

内容分发网络(CDN)

CDN Administrator

操作权限:对CDN的所有执行权限。

作用范围:全局级服务。

操作级别

支持的授权项请参见:API授权项列表

CDN Domain Viewer

操作权限:对CDN加速域名信息的只读权限。

作用范围:全局级服务。

CDN Statistics Viewer

操作权限:对CDN统计信息的只读权限。

作用范围:全局级服务。

CDN Logs Viewer

操作权限:对CDN日志的只读权限。

作用范围:全局级服务。

CDN Domain Configuration Operator

操作权限:对CDN加速域名的配置权限。

作用范围:全局级服务。

CDN Refresh And Preheat Operator

操作权限:CDN刷新预热权限。

作用范围:全局级服务。

弹性文件服务(SFS)

SFS Administrator

操作权限:

  • 对弹性文件服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

SFS Admin

操作权限:对弹性文件服务的所有执行权限。

作用范围:项目级服务。

SFS Viewer

操作权限:对弹性文件服务的只读权限。

作用范围:项目级服务。

实时流计算服务(CS)

CS Tenant Admin

操作权限:

  • 创建、删除、修改作业、模板和独立集群。
  • 为具有CS User权限的子用户分配可用集群和可用配额。
  • 查看独享集群里的所有用户作业。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

CS User

操作权限:创建、删除、修改作业和模板。

作用范围:项目级服务。

分布式缓存服务(DCS)

DCS User

操作权限:分布式缓存服务普通用户权限(无实例创建、修改、删除、扩缩容)。

作用范围:项目级服务。

服务级别

支持的授权项请参见:API授权项列表

DCS Admin

操作权限:分布式缓存服务所有权限。

作用范围:项目级服务。

DCS Viewer

操作权限:分布式缓存服务只读权限。

作用范围:项目级服务。

DCS Administrator

操作权限:分布式缓存服务所有权限。

作用范围:项目级服务。

MapReduce服务(MRS)

MRS Administrator

操作权限:

  • 对MRS服务的所有执行权限。
  • 拥有该权限的用户必须同时拥有Tenant Guest、Server Administrator和BSS Administrator权限。

作用范围:项目级服务。

服务级别

MRS Admin

操作权限:MRS服务所有权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

MRS User

操作权限:MRS服务使用权限(无新增、删除资源权限)。

作用范围:项目级服务。

MRS Viewer

操作权限:MRS服务只读权限。

作用范围:项目级服务。

函数工作流(FunctionGraph)

FunctionGraph Administrator

操作权限:

  • 具有FunctionGraph函数、工作流、触发器的管理权限。
  • 具有调用函数的权限。

作用范围:项目级服务。

服务级别

FunctionGraph Invoker

操作权限:

  • 具有查询FunctionGraph函数、工作、触发器的权限。
  • 具有调用函数的权限。

作用范围:项目级服务。

微服务引擎(CSE)

CSE Admin

操作权限:具有微服务引擎的所有执行权限。

作用范围:项目级服务。

服务级别

CSE Viewer

操作权限:具有微服务引擎的只读权限。

作用范围:项目级服务。

微服务云应用平台(ServiceStage)

SvcStg Admin

操作权限:

  • 具有服务管理权限。
  • 具有应用管理权限。
  • 具有节点管理权限。
  • 具有堆栈管理权限。
  • 具有流水线管理权限。

作用范围:项目级服务。

服务级别

SvcStg Developer

操作权限:

  • 具有服务管理权限。
  • 具有应用管理权限。
  • 具有堆栈管理权限。
  • 具有流水线管理权限。

作用范围:项目级服务。

SvcStg Operator

操作权限:

  • 具有服务只读权限。
  • 具有应用只读权限。
  • 具有堆栈只读权限。
  • 具有流水线只读权限。

作用范围:项目级服务。

云桌面(Workspace)

Workspace Administrator

操作权限:

  • 对Workspace服务的所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest、Server Administrator、VPC Administrator权限。
  • 拥有该权限的用户同时拥有Tenant Guest权限时,可以查询创建桌面时使用的镜像。
  • 拥有该权限的用户同时拥有Server Administrator权限时,可以管理镜像授权、端口、安全组规则。
  • 拥有该权限的用户同时拥有VPC Administrator权限时,可以查询VPC及子网信息,管理安全组,创建、查询、删除IP地址。

作用范围:项目级服务。

服务级别

业务支撑系统

(BSS)

BSS Administrator

操作权限:对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。

作用范围:项目级服务。

服务级别

BSS Operator

操作权限:

  • 访问账号中心和资源中心的所有菜单项执行任意操作。
  • 在费用中心执行以下操作:
    • 查看、取消和导出订单,对资源进行续费、资费变更、退订、过期释放。
    • 查看和导出消费汇总、消费明细,分析账单。
    • 查看和激活优惠券、申请线上合同和查看商务优惠。

作用范围:项目级服务。

BSS Finance

操作权限:

  • 充值、提现、设置余额预警。
  • 查看、支付和导出订单,对资源进行续费。
  • 查看和导出消费汇总、消费明细和收支明细,分析账单。
  • 查看和激活优惠券、开具发票、申请线上合同和查看商务优惠。

作用范围:项目级服务。

EnterpriseProject_BSS_Administrator

操作权限:

  • 查看企业项目资金配额的设置信息
  • 查看企业项目资金配额的调整记录
  • 查看企业项目的续费信息
  • 对资源进行自动续费、手动续费、按需转包周期和过期释放
  • 对包周期资源进行下单和查看包周期资源的订单信息
  • 退订资源和查看资源的退订记录
  • 查看和导出企业项目的消费汇总
  • 查看和导出企业项目的消费明细
  • 查看和导出企业项目的消耗分析

作用范围:项目级服务。

操作级别

支持的授权项请参见:企业项目权限说明中的EnterpriseProject_BSS_Administrator的授权项说明。

企业项目管理服务(EPS)

EPS Admin

操作权限:企业项目管理服务所有权限。

作用范围:全局级服务。

操作级别

支持的授权项请参见:API授权项列表

EPS Viewer

操作权限:企业项目管理服务只读权限。

作用范围:全局级服务。

语音通话(VoiceCall)

消息&短信(MSGSMS)

隐私保护通话(PrivateNumber)

RTC Administrator

操作权限:对语音通话、消息&短信、隐私保护通话的所有执行权限。

作用范围:项目级服务。

服务级别

工单管理

(Service Ticket)

Ticket Administrator

操作权限:提交工单。

作用范围:全局级服务。

服务级别

弹性负载均衡(ELB)

ELB Admin

操作权限:对弹性负载均衡服务的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

ELB Viewer

操作权限:对弹性负载均衡服务的只读权限。

作用范围:项目级服务。

ELB Administrator

操作权限:对弹性负载均衡服务的所有执行权限。拥有该权限的用户必须同时拥有Tenant Guest权限。

作用范围:项目级服务。

服务级别

推荐引擎服务(RES)

RES Admin

操作权限:细粒度Admin权限,对推荐系统的所有执行权限。

作用范围:项目级服务。

操作级别

支持的授权项请参见:API授权项列表

RES Viewer

操作权限:对推荐系统的只读权限。

作用范围:项目级服务。

RES Service Admin

操作权限:粗粒度Admin权限,对推荐系统的所有执行权限,与细粒度Admin权限相同。

作用范围:项目级服务。

服务级别

策略内容

“统一身份认证”页面的左侧导航树单击“策略”,然后单击某一策略名称(例如:IMS Administrator),在“策略内容”区域将显示该权限策略的详细信息(JSON格式)。每个权限策略的详细信息包括一个或多个语句,每个语句描述一组权限。

以IMS Administrator为例,参数说明如下表所示。

{
        "Version": "1.0",
        "Statement": [
                {
                        "Action": [
                                "ims:*:*",
                                "ecs:*:list",
                                "ecs:*:get",
                                "evs:*:get"
                        ],
                        "Effect": "Allow"
                }
        ],
        "Depends": [
                {
                        "catalog": "OBS",
                        "display_name": "Tenant Administrator"
                }
        ]
}
表1 参数说明

参数

含义

取值

Version

权限策略的版本

  • 1.0:服务级别的权限策略
  • 1.1:操作级别的权限策略

Statement

Action

定义在服务上可执行的具体操作。

格式为:服务名:资源类型:操作

例如:"ims:*:*",表示对IMS的所有操作。其中ims为服务名称;“*”为通配符,表示所有操作。

Effect

定义Action所包含的操作是否允许执行。

取值范围:

  • Allow:允许执行。
  • Deny:不允许执行。
说明:

当权限策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

Depends

说明:

针对服务级别的权限策略,由于“Action”中仅能包含当前服务的操作,因此,当需要依赖于其他权限时,要在“Depends”中定义。

授权时,必须同时勾选待授权的权限策略及其依赖的其他权限策略。

catalog

依赖的其他权限的所属服务。

服务名称

例如:BASE

display_name

依赖的其他权限的名称。

权限名称

例如:Tenant Administrator

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区