权限策略
策略是以JSON格式描述权限集的语言。默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。IAM预置了各服务的常用权限,例如管理员权限、只读权限,您可以直接使用这些系统策略。
- 全局区域:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。
- 全局区域 对象存储项目:对象存储服务与其他所有服务隔离部署,在独立的全局区域-对象存储项目中授权。
- 除全局区域外的其他区域:服务部署时通过物理区域划分,为项目级服务,在除全局区域外的其他区域中授权,并且只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
策略类别:策略根据授权精度分为细粒度策略和Role-Based Access Control(RBAC)策略。细粒度策略是RBAC策略的升级版,当前处于公测阶段,推荐您开通细粒度策略,开通后可以免费使用。
- 如果不开通细粒度策略功能,则无法使用细粒度策略,只能使用RBAC策略。
- 如果一个服务只有细粒度策略,没有RBAC策略,在没有开通细粒度策略功能时,无法给IAM用户授予该服务的权限,例如APM、AOM。
- 开通了细粒度策略功能后,如果一个服务同时有细粒度策略和RBAC策略,建议优先选择细粒度策略进行授权。
- 支持细粒度策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的资源类型进行指定的操作。单击“细粒度”,查看服务支持的自定义策略授权项。
系统策略列表
服务 |
所属区域 |
系统策略 |
策略类别 |
操作权限 |
|---|---|---|---|---|
BASE |
全局区域 |
Full Access |
细粒度 |
所有服务的所有权限。 |
所有区域 |
Tenant Administrator |
细粒度 |
除统一身份认证服务外,其他所有服务的所有执行权限。 |
|
所有区域 |
Tenant Guest |
细粒度 |
除统一身份认证服务外,其他所有服务的只读权限。 |
|
全局区域 |
Security Administrator |
RBAC |
统一身份认证服务的所有执行权限。 |
|
全局区域 |
Agent Operator |
RBAC |
切换角色并访问委托方账号中的资源。 |
|
对象存储服务(OBS) |
全局区域 对象存储服务项目 |
OBS Operator |
查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 |
|
OBS Viewer |
查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限,无其他权限。 |
|||
OBS Buckets Viewer |
RBAC |
列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。 |
||
标签管理服务(TMS) (全局级服务) |
全局区域 |
TMS Administrator |
RBAC |
标签管理服务的所有执行权限。 |
内容分发网络(CDN) (全局级服务) |
全局区域 |
CDN Domain Viewer |
内容分发网络加速域名信息的只读权限。 |
|
CDN Statistics Viewer |
内容分发网络统计信息的只读权限。 |
|||
CDN Logs Viewer |
内容分发网络日志的只读权限。 |
|||
CDN Domain Configuration Operator |
内容分发网络加速域名的配置权限。 |
|||
CDN Refresh And Preheat Operator |
内容分发网络刷新预热权限。 |
|||
CDN Administrator |
RBAC |
内容分发网络的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
||
企业项目管理服务(EPS) (全局级服务) |
全局区域 |
EPS Admin |
企业管理服务的所有执行权限。 |
|
EPS Viewer |
企业管理服务的只读权限。 |
|||
工单管理(Service Ticket) (全局级服务) |
全局区域 |
Ticket Administrator |
RBAC |
工单管理的所有执行权限。 |
业务支撑系统(BSS) (项目级服务) |
除全局区域外的其他区域
注意:
授权时,除了全局区域外,需要授予其他所有区域的权限。 |
BSS Administrator |
RBAC |
费用中心、资源中心、账号中心的所有执行权限。 |
BSS Operator |
费用中心的查询权限,资源中心和账号中心的管理权限。 |
|||
BSS Finance |
|
|||
EnterpriseProject_ BSS_Administrator |
细粒度 |
企业项目费用的管理权限。 |
||
弹性云服务器(ECS) 云硬盘(EVS) 虚拟私有云(VPC) 镜像服务(IMS) (项目级服务) |
除全局区域外的其他区域 |
Server Administrator |
细粒度 |
|
弹性云服务器(ECS) (项目级服务) |
除全局区域外的其他区域 |
ECS Admin |
弹性云服务器的所有执行权限。 |
|
ECS Viewer |
弹性云服务器的只读权限。 |
|||
ECS User |
开机、关机、重启、查询弹性云服务器。 |
|||
裸金属服务器(BMS) (项目级服务) |
除全局区域外的其他区域 |
BMS Admin |
裸金属服务器的所有执行权限。 |
|
BMS Viewer |
裸金属服务器的只读权限。 |
|||
BMS User |
开机、关机、重启、查询裸金属服务器。 |
|||
弹性伸缩(AS) (项目级服务) |
除全局区域外的其他区域 |
AutoScaling Admin |
弹性伸缩全部资源的所有执行权限。 |
|
AutoScaling Viewer |
弹性伸缩全部资源的只读权限。 |
|||
AutoScaling Administrator |
RBAC |
对弹性伸缩全部资源的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:ELB Administrator、CES Administrator。 |
||
镜像服务(IMS) (项目级服务) |
除全局区域外的其他区域 |
IMS Admin |
镜像服务的所有执行权限。 |
|
IMS Viewer |
镜像服务的只读权限。 |
|||
IMS Administrator |
RBAC |
镜像服务的所有执行权限。 该策略有依赖,需要在全局区域(全局级)对象存储服务项目中勾选依赖的策略:Tenant Administrator。 |
||
云硬盘(EVS) (项目级服务) |
除全局区域外的其他区域 |
EVS Admin |
云硬盘的所有执行权限。 |
|
EVS Viewer |
云硬盘的只读权限。 |
|||
存储容灾服务(SDRS) (项目级服务) |
除全局区域外的其他区域 |
SDRS Administrator |
RBAC |
存储容灾服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
云服务器备份(CSBS) (项目级服务) |
除全局区域外的其他区域 |
CSBS Administrator |
RBAC |
云服务器备份的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Server Administrator。 |
云硬盘备份(VBS) (项目级服务) |
除全局区域外的其他区域 |
VBS Administrator |
RBAC |
云硬盘备份的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
专属分布式存储服务(DSS) (项目级服务) |
除全局区域外的其他区域 |
DSS Admin |
RBAC |
专属分布式存储服务的所有执行权限。 |
DSS Viewer |
专属分布式存储服务的只读权限。 |
|||
虚拟私有云(VPC) (项目级服务) |
除全局区域外的其他区域 |
VPC Admin |
虚拟私有云的所有执行权限。 |
|
VPC Viewer |
虚拟私有云的只读权限。 |
|||
VPC Administrator |
RBAC |
虚拟私有云的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
||
云容器引擎(CCE) (项目级服务) |
除全局区域外的其他区域 |
CCE Admin |
云容器引擎服务的所有执行权限。 |
|
CCE Viewer |
云容器引擎服务的只读权限以及对kubernetes资源的所有执行权限。 |
|||
CCE Administrator |
RBAC |
云容器引擎服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator、 SFS Administrator、SWR Admin、APM Admin,以及全局区域(全局级)对象存储服务项目中勾选依赖的策略:OBS Operator。 |
||
云容器实例(CCI) (项目级服务) |
除全局区域外的其他区域 |
CCI Administrator |
RBAC |
云容器实例的所有执行权限。 |
CCI Admin |
云容器实例的所有执行权限。 |
|||
CCI Viewer |
云容器实例的只读权限。 |
|||
数据接入服务(DIS) (项目级服务) |
除全局区域外的其他区域 |
DIS Administrator |
RBAC |
数据接入服务的所有执行权限。 |
DIS Operator |
通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。 |
|||
DIS User |
通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。 |
|||
数据仓库服务(DWS) (项目级服务) |
除全局区域外的其他区域 |
DWS Admin |
数据仓库服务的所有执行权限。 |
|
DWS Viewer |
数据仓库服务的只读权限。 |
|||
DWS Administrator |
RBAC |
数据仓库服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
||
DWS Database Access |
数据仓库服务数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 |
|||
表格存储服务(CloudTable) (项目级服务) |
除全局区域外的其他区域 |
CloudTable Administrator |
RBAC |
表格存储服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
数据湖工厂(DLF) (项目级服务) |
除全局区域外的其他区域 |
DLF Administrator |
RBAC |
数据湖工厂的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Administrator。 |
深度学习服务(DLS) (项目级服务) |
除全局区域外的其他区域 |
DLS Service User |
RBAC |
深度学习服务的所有执行权限。 |
机器学习服务(MLS) (项目级服务) |
除全局区域外的其他区域 |
MLS Administrator |
RBAC |
机器学习服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
数据湖探索(DLI) (项目级服务) |
除全局区域外的其他区域 |
DLI Service Admin |
RBAC |
数据湖探索的所有执行权限。 |
DLI Service User |
数据湖探索的使用权限,无创建资源权限。 |
|||
图引擎服务(GES) (项目级服务) |
除全局区域外的其他区域 |
GES Administrator |
RBAC |
图引擎服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
GES Operator |
只读图、访问图权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
|||
云数据迁移(CDM) (项目级服务) |
除全局区域外的其他区域 |
CDM Administrator |
RBAC |
云数据迁移的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
云搜索服务(CSS) (项目级服务) |
除全局区域外的其他区域 |
Elasticsearch Administrator |
RBAC |
云搜索服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
云日志服务(LTS) (项目级服务) |
除全局区域外的其他区域 |
LTS Admin |
细粒度 |
云日志服务的所有执行权限。 |
LTS Viewer |
云日志服务的只读权限。 |
|||
LTS Administrator |
RBAC |
云日志服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、以及全局区域(全局级)对象存储服务项目中勾选依赖的策略:Tenant Administrator。 |
||
云解析服务(DNS) (项目级服务) |
除全局区域外的其他区域 |
DNS Administrator |
RBAC |
云解析服务的所有执行权限。 |
云审计服务(CTS) (项目级服务) |
除全局区域外的其他区域 |
CTS Administrator |
RBAC |
云审计服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、以及全局区域(全局级)对象存储服务项目中勾选依赖的策略:Tenant Administrator。 |
消息通知服务(SMN) (项目级服务) |
除全局区域外的其他区域 |
SMN Administrator |
RBAC |
消息通知服务的所有执行权限。 |
云手机(CPH) (项目级服务) |
除全局区域外的其他区域 |
CPH Administrator |
RBAC |
云手机的所有执行权限。 |
CPH User |
云手机的只读权限。 |
|||
资源模板服务(RTS) (项目级服务) |
除全局区域外的其他区域 |
RTS Administrator |
RBAC |
资源模板服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Server Administrator、ELB Administrator、CES Administrator。 |
关系型数据库(RDS) (项目级服务) |
除全局区域外的其他区域 |
RDS Admin |
关系型数据库的所有执行权限。 |
|
RDS Viewer |
关系型数据库的只读权限。 |
|||
RDS DBA |
关系型数据库除删除操作外的DBA权限。 |
|||
RDS Administrator |
RBAC |
关系型数据库的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
||
分布式消息服务(DMS) (项目级服务) |
除全局区域外的其他区域 |
DMS Administrator |
RBAC |
分布式消息服务的所有执行权限。 |
文档数据库服务(DDS) (项目级服务) |
除全局区域外的其他区域 |
DDS Admin |
文档数据库服务的所有执行权限。 |
|
DDS Viewer |
文档数据库服务的只读权限。 |
|||
DDS DBA |
文档数据库服务除删除操作外的DBA权限。 |
|||
DDS Administrator |
RBAC |
文档数据库服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator 如果配置了DDS企业项目,需要在同项目中勾选DAS Admin策略,才可以通过DDS界面登录到DAS服务。 |
||
数据复制服务(DRS) (项目级服务) |
除全局区域外的其他区域 |
DRS Administrator |
RBAC |
数据复制服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
数据管理服务(DAS) (项目级服务) |
除全局区域外的其他区域 |
DAS Administrator |
RBAC |
数据管理服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
分布式数据库中间件(DDM) (项目级服务) |
除全局区域外的其他区域 |
DDM Admin |
分布式数据库中间件的所有执行权限。 |
|
DDM User |
分布式数据库中间件的普通权限。 普通权限与所有执行权限比较,普通权限不具备以下操作权限:
|
|||
DDM Viewer |
分布式数据库中间件的只读权限。 |
|||
应用运维管理服务(AOM) (项目级服务) |
除全局区域外的其他区域 |
AOM Admin |
应用运维管理服务的所有执行权限。 |
|
AOM Viewer |
应用运维管理服务的只读权限。 |
|||
应用性能管理服务(APM) (项目级服务) |
除全局区域外的其他区域 |
APM Admin |
应用性能管理服务的所有执行权限。 |
|
APM Viewer |
应用性能管理服务的只读权限。 |
|||
API网关(APIG) (项目级服务) |
除全局区域外的其他区域 |
APIG Administrator |
RBAC |
API网关服务的所有执行权限。 |
容器镜像服务(SWR) (项目级服务) |
除全局区域外的其他区域 |
SWR Admin |
RBAC |
容器镜像服务的所有执行权限。 |
云监控服务(Cloud Eye) (项目级服务) |
除全局区域外的其他区域 |
CES Administrator |
RBAC |
云监控服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
Web应用防火墙(WAF) (项目级服务) |
除全局区域外的其他区域 |
WAF Administrator |
RBAC |
Web应用防火墙的所有执行权限。 |
企业主机安全(HSS) (项目级服务) |
除全局区域外的其他区域 |
HSS Administrator |
RBAC |
企业主机安全的所有执行权限。 |
漏洞扫描服务(VSS) (项目级服务) |
除全局区域外的其他区域 |
VSS Administrator |
RBAC |
漏洞扫描服务的所有执行权限。 |
容器安全服务(CGS) (项目级服务) |
除全局区域外的其他区域 |
CGS Administrator |
RBAC |
容器安全服务的所有执行权限。 |
安全专家服务(SES) (项目级服务) |
除全局区域外的其他区域 |
SES Administrator |
RBAC |
安全专家服务的所有执行权限。 |
数据库安全服务(DBSS) (项目级服务) |
除全局区域外的其他区域 |
DBSS System Administrator |
RBAC |
数据库安全服务的所有执行权限。 |
DBSS Audit Administrator |
数据库安全服务的安全审计权限。 |
|||
DBSS Security Administrator |
数据库安全服务的安全防护权限。 |
|||
数据加密服务(DEW) (项目级服务) |
除全局区域外的其他区域 |
KMS Administrator |
RBAC |
数据加密服务的所有执行权限。 |
智能验证码服务(ICS) (项目级服务) |
除全局区域外的其他区域 |
ICS Administrator |
RBAC |
智能验证码服务的所有执行权限。 |
Anti-DDoS流量清洗 (项目级服务) |
除全局区域外的其他区域 |
Anti-DDoS Administrator |
RBAC |
Anti-DDoS流量清洗的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
DDoS高防(AAD) (项目级服务) |
除全局区域外的其他区域 |
CAD Administrator |
RBAC |
DDoS高防服务的所有执行权限。 |
视频点播服务(VOD) (项目级服务) |
除全局区域外的其他区域 |
VOD Administrator |
RBAC |
视频点播服务里的所有操作权限,操作对象为所有的视频文件。 |
VOD Group Administrator |
除全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。 |
|||
VOD Group Operator |
除发布媒资、取消发布媒资、删除媒资、全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。 |
|||
VOD Group Guest |
仅具备查询视频文件的权限,操作对象为用户所在组创建的视频文件。 |
|||
媒体转码服务(MPC) (项目级服务) |
除全局区域外的其他区域 |
MPC Administrator |
RBAC |
媒体转码服务的所有执行权限。 |
弹性文件服务(SFS) (项目级服务) |
除全局区域外的其他区域 |
SFS Admin |
弹性文件服务的所有执行权限。 |
|
SFS Viewer |
弹性文件服务的只读权限。 |
|||
SFS Administrator |
RBAC |
弹性文件服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
||
实时流计算服务(CS) (项目级服务) |
除全局区域外的其他区域 |
CS Admin |
实时流计算服务的所有执行权限。 |
|
CS User |
实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。 |
|||
CS Viewer |
实时流计算服务只读权限,拥有该权限的用户仅能查看实时流计算服务的作业、模板和独享集群。 |
|||
CS Tenant User |
RBAC |
实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。 |
||
CS Tenant Admin |
实时流计算服务管理员权限,拥有实时流计算服务所有权限。 操作权限:
|
|||
分布式缓存服务(DCS) (项目级服务) |
除全局区域外的其他区域 |
DCS Admin |
分布式缓存服务的所有执行权限。 |
|
DCS User |
分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。 |
|||
DCS Viewer |
分布式缓存服务的只读权限。 |
|||
DCS Administrator |
RBAC |
分布式缓存服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
||
MapReduce服务(MRS) (项目级服务) |
除全局区域外的其他区域 |
MRS Admin |
MapReduce服务的所有执行权限。 |
|
MRS User |
MapReduce服务的普通用户权限(无新增、删除资源权限)。 |
|||
MRS Viewer |
MapReduce服务的只读权限。 |
|||
MRS Administrator |
RBAC |
MapReduce服务的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。 |
||
函数工作流(FunctionGraph) (项目级服务) |
除全局区域外的其他区域 |
FunctionGraph Administrator |
RBAC |
FunctionGraph函数工作流、触发器的管理权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
FunctionGraph Invoker |
FunctionGraph函数工作流、触发器的查询权限。 |
|||
微服务云应用平台(ServiceStage) (项目级服务) |
除全局区域外的其他区域 |
SvcStg Admin |
RBAC |
微服务云应用平台的所有执行权限。
|
SvcStg Developer |
微服务云应用平台的普通用户权限,与所有执行权限相比,没有节点管理权限。 |
|||
SvcStg Operator |
微服务云应用平台的只读权限。 |
|||
云桌面(Workspace) (项目级服务) |
除全局区域外的其他区域 |
Workspace Administrator |
RBAC |
云桌面的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator、VPC Administrator。 |
语音通话(VoiceCall) 消息&短信(MSGSMS) 隐私保护通话(PrivateNumber) (项目级服务) |
除全局区域外的其他区域 |
RTC Administrator |
RBAC |
语音通话、消息&短信、隐私保护通话的所有执行权限。 |
弹性负载均衡(ELB) (项目级服务) |
除全局区域外的其他区域 |
ELB Admin |
弹性负载均衡的所有执行权限。 |
|
ELB Viewer |
弹性负载均衡的只读权限。 |
|||
ELB Administrator |
RBAC |
弹性负载均衡的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
||
NAT网关(NAT) (项目级服务) |
除全局区域外的其他区域 |
NAT Admin |
细粒度 |
NAT网关的所有执行权限。 |
NAT Viewer |
NAT网关的只读权限。 |
|||
NAT Administrator |
RBAC |
NAT网关的所有执行权限。 该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。 |
||
推荐引擎服务(RES) (项目级服务) |
除全局区域外的其他区域 |
RES Admin |
细粒度 |
推荐引擎服务的所有执行权限。 |
RES Viewer |
推荐引擎服务的只读权限。 |
