文档首页> > 权限说明
查看PDF

权限说明

更新时间: 2018-11-02 09:48

权限包括用户管理权限和云服务管理权限。用户管理实现用户的创建、删除、修改和为用户授权。云服务管理实现对云服务的资源的创建、查看、修改和删除等操作。给用户组添加用户管理或者云服务管理权限,再将用户加入用户组中,可以使用户继承用户组的权限。通过用户组来管理用户权限可以使权限管理更有条理,避免权限管理的混乱。

权限关系

默认权限

系统默认提供两种权限:用户管理权限和云服务管理权限。

表1 用户管理权限

节点名称

权限名称

权限说明

基本

Security Administrator
  • 创建、删除、修改用户。
  • 为用户授权。

IAM

Agent Operator

拥有该权限的用户,可以切换角色并访问委托方帐户中的资源。
说明:

目前仅ECS、EVS、VPC和DSS服务支持细粒度授权策略,ECS Admin,ECS User,ECS Viewer,EVS Admin,EVS Viewer,VPC Admin,VPC Viewer,DSS Admin和DSS Viewer为系统预置的细粒度授权策略。

表2 云服务管理权限

节点名称

权限名称

管理的云服务

权限说明

基本

Tenant Administrator

所有服务
  • 可以对账号中心、费用中心、服务支持中心、资源中心执行任意操作。
  • 可以对企业拥有的所有云资源执行任意操作。

Tenant Guest

所有服务

拥有该权限的用户可以查询企业拥有的所有云资源的利用情况。

Server Administrator

云硬盘

弹性云服务器

虚拟私有云
  • 创建、删除、修改云硬盘。
  • 创建、删除、修改弹性云服务器。
  • 同时拥有Tenant Guest权限时,可以对安全组、安全组规则、端口、防火墙、弹性IP地址、带宽执行任意操作。

ECS

ECS Admin

弹性云服务器

ECS管理员权限,拥有该权限的用户可以拥有ECS的全部权限,包括创建、删除、查询、变更规格等操作。

ECS User

ECS普通用户权限,拥有该权限的用户可以执行查询、重启等通用操作,不能执行创建、删除、重装/切换操作系统、变更规格等操作。

ECS Viewer

ECS只读权限,拥有该权限的用户可以执行查询操作,例如查询云服务器列表。

EVS

EVS Admin

云硬盘

EVS管理员权限,拥有该权限的用户有ECS的全部权限,包括创建、删除、查询、更新等操作。

EVS Viewer

EVS只读权限,拥有该权限的用户只能执行查询相关的操作,比如查询云硬盘列表,查询云硬盘详情。

VPC

VPC Administrator

虚拟私有云

拥有该权限的用户可以对虚拟私有云、子网、端口、VPN和专线资源执行任意操作。拥有该权限的用户必须同时拥有Tenant Guest权限。

VPC Admin

VPC管理员权限,拥有该权限的用户可以拥有VPC相关资源的所有权限,例如对虚拟私有云、子网以及安全组等资源的创建,查询,更新,删除等操作。

VPC Viewer

VPC只读权限,拥有该权限的用户可以执行查询操作,例如查询虚拟私有云列表等。

DSS

DSS Admin

专属分布式存储服务

DSS管理员权限,拥有该权限的用户拥有DSS的全部权限,和EVS的常用权限,包括创建、删除、查询、更新等操作。

DSS Viewer

DSS只读权限,拥有该权限的用户只能执行查询相关的操作,比如查询DSS池列表、查询云硬盘列表。

Anti-DDoS

Anti-DDoS Administrator

流量清洗服务

拥有该权限的用户同时拥有Tenant Guest权限,并能够获取VPC的EIP列表时,可以对流量清洗服务执行任意操作。

APM

APM Admin

微服务云应用平台

拥有该权限的用户可以管理帐户监控的数据。

CCS

CCS

云目录服务

拥有该权限的用户可以自定义产品、自定义产品组合、产品绑定产品组合、自定义版本、添加授权、添加约束、产品实例运维、管理配额。

CCS User

拥有该权限的用户可以查看产品、管理产品实例。

CCI

CCI Administrator

云容器实例

拥有该权限的用户可以创建,删除,修改云容器实例。

CDE

CDE Admin

微服务云应用平台

拥有该权限的用户可以管理帐户的应用编排。

CDE Developer

微服务云应用平台

拥有该权限的用户可以编排应用。

CDN

CDN Administrator

CDN

拥有该权限的用户可以拥有CDN的全部权限,包括创建、查看、修改、删除加速域名,修改CDN的计费模式,查看统计信息,进行刷新预热等。

LSA

LSA Administrator

直播加速

拥有该权限的用户可以拥有LSA的全部权限,包括创建、查看、修改、删除加速域名,修改LSA的计费模式,查看统计信息等。

CTS

CTS Administrator

云审计服务

拥有该权限的用户同时拥有Tenant Guest和Tenant Administrator(OBS部署区域)权限可以执行以下操作:

  • 开通服务。
  • 创建、修改、停用、启用追踪器。
  • 接收、查看事件。

若拥有该权限的用户没有Tenant Administrator(OBS部署区域)权限,用户事件将无法存储到OBS桶。

CRS

CRS Administrator

云报表服务

拥有该权限的用户可以在云报表服务中执行以下操作:

  • 对数据源进行连接、删除、修改、查询。
  • 对数据集进行创建、删除、修改、查询、预览。
  • 对工作表进行创建、删除、修改、查询、数据分析。
  • 对仪表盘进行创建、删除、修改、查询。
  • 对配额进行查询。

CS

CS Tenant Admin

实时流计算服务

拥有该权限的用户可以执行以下操作:

  • 创建、删除、修改作业、模板和独立集群。
  • 为具有CS User权限的子用户分配可用集群和可用配额。
  • 查看独享集群里的所有用户作业。

CS User

拥有该权限的用户可以创建、删除、修改作业和模板。

CSBS

CSBS Administrator

云服务器备份服务

拥有该权限的用户可以删除云服务器备份。同时拥有Server Administrator权限时,可以创建云服务器备份、恢复云服务器和管理备份策略。

如果没有Server Administrator权限:

  • 当用户创建备份和恢复云服务器时,无法获取到云服务器信息。
  • 当用户将云服务器绑定到备份策略时,无法获取到云服务器信息。

DWS

DWS Administrator

数据仓库服务
DWS管理员权限,拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对DWS资源执行任意操作。如果没有Tenant Guest或Server Administrator权限,将无法正常使用DWS。
说明:
  • 拥有VPC Administrator权限的DWS用户可以创建VPC或子网。
  • 拥有CES Administrator权限的DWS用户,可以查看DWS集群的监控指标信息。

DWS Database Access

DWS数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。

DEW

KMS Administrator

数据加密服务
  • 密钥管理

    拥有该权限的用户可以执行以下操作:

    • 创建、启用、禁用、计划删除、取消计划删除密钥。
    • 查询密钥列表。
    • 查询密钥信息。
    • 创建随机数、数据密钥、不含明文数据密钥。
    • 加密、解密数据密钥。
    • 修改密钥别名和描述。
    • 创建、查询、撤销、退役授权。
    • 导入、删除密钥材料。
    • 添加、删除、查询密钥标签。
  • 密钥对管理

    同时拥有该权限和Server Administrator权限可以执行以下操作:

    • 创建、导入、删除密钥对。
    • 查询密钥对列表。
    • 查询密钥对信息。
    • 重置、替换、绑定、解绑密钥对。
    • 导入、导出、清除私钥。
    • 查询、删除任务失败记录。
  • 专属加密

    拥有该权限的用户可以执行以下操作:

    • 订购询价、提交订单、获取订单信息、付款。
    • 查询专属加密实例列表。
    • 查询网络信息。
    • 查询子网下已用IP地址。
    • 查询产品规格。
    • 获取验证码、校验验证码。

SFS

SFS Administrator

弹性文件服务

同时拥有该权限和Tenant Guest权限的用户可以创建、删除、查询、扩容、缩容文件系统。

SVCSTG

SvcStg Admin

微服务云应用平台

拥有该权限的用户对ServiceStage的所有模块有管理权限,例如创建集群、创建节点等。

SvcStg Developer

拥有该权限的用户对ServiceStage的所有模块有开发权限,例如创建云上工程、创建流水线等。

SvcStg Operator

拥有该权限的用户对ServiceStage 的所有模块有维护权限,例如创建监控仪表盘等。

SWR

SWR Admin

微服务云应用平台

拥有该权限的用户可以管理帐户的软件仓库。

MRS

MRS Administrator

MapReduce服务

拥有该权限的用户可以查看MRS概览信息、集群相关信息、作业信息、HDFS文件操作信息、操作日志、告警列表以及MRS Manager页面。

RDS

RDS Administrator

关系型数据库

文档数据库服务

拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对RDS、DDS服务执行任意操作,例如:

  • 创建、删除实例。
  • 重启、扩容、配置数据库参数。
  • 恢复实例。

拥有该权限的用户没有Tenant Guest或Server Administrator权限,将无法正常使用RDS、DDS。

说明:
  • 拥有VPC Administrator权限的用户可以创建VPC或子网。
  • 拥有CES Administrator权限的用户可以修改或添加实例的告警规则。
  • 拥有TMS Administrator权限的用户,可以联动查询到TMS标签管理服务的预定义标签,并可在TMS服务创建、修改和删除预定义标签。
  • 拥有KMS Administrator权限的用户,支持在密钥管理服务购买密钥并对RDS和DDS实例进行加密。
  • 拥有Security Administrator权限的用户,可以在购买关系型数据库实例时,合并购买数据库安全服务。

DIS

DIS Administrator

数据接入服务

具备以下操作权限:

  • 创建、删除、查询stream、查询stream列表。
  • 对stream进行上传、下载数据。
  • 查询stream监控指标。

DNS

DNS Administrator

云解析服务

拥有该权限的用户可以执行以下操作:

  • 创建、查询、删除Zone。
  • 创建、查询、删除RecordSet。
  • 创建、查询、删除PTRRecord。

WAF

WAF Administrator

Web应用防火墙

拥有该权限的用户可以执行以下操作:

  • 创建、删除WAF实例。
  • 配置、开启、停止WAF实例。
  • 修改WAF实例防护策略。
  • 配置WAF实例告警通知。
  • 查询WAF实例列表、WAF实例详情。
  • 对WAF实例域名进行认证。

HSS

HSS Administrator

企业主机安全

拥有该权限的用户可以执行以下操作:

  • 开启、关闭主机防护。
  • 进行手动检测。
  • 设置告警信息、进行安全配置。
  • 查看总览中概览信息。
  • 查看云服务器列表、风险详情。
  • 查看资产管理、漏洞管理、入侵检测、基线检查中各个特性的报告。

VulnScan

VSS Administrator

漏洞扫描服务

拥有该权限的用户可以执行以下操作:

  • 创建、重启、取消扫描任务。
  • 查询任务列表、任务详情。
  • 查询漏洞列表、漏洞详情。
  • 对漏洞进行误报标记。
  • 对域名进行认证。

VBS

VBS Administrator

云硬盘备份

拥有该权限的用户同时拥有Server Administrator和Tenant Guest权限时,可以执行以下操作:

  • 创建云硬盘备份。
  • 删除云硬盘备份。
  • 恢复云硬盘。

WKS

Workspace Administrator

云桌面
  • 拥有该权限的用户同时拥有Tenant Guest、Server Administrator、VPC Administrator权限时,可以对Workspace服务执行任意操作。
  • 拥有该权限的用户同时拥有Tenant Guest权限时,可以查询创建桌面时使用的镜像。
  • 拥有该权限的用户同时拥有Server Administrator权限时,可以管理镜像授权、端口、安全组规则。
  • 拥有该权限的用户同时拥有VPC Administrator权限时,可以查询VPC及子网信息,管理安全组,创建、查询、删除IP地址。

IMS

IMS Administrator

镜像服务
  • 拥有该权限的用户,可以创建、修改、删除、共享镜像、跨区域复制镜像。
  • 拥有该权限的用户同时拥有Server Administrator权限时,可以使用弹性云服务器创建镜像。
  • 拥有该权限的用户同时拥有Tenant Guest(OBS部署区域)权限时,可以使用镜像文件创建镜像。
  • 拥有该权限的用户同时拥有Tenant Adminisrator(OBS部署区域)权限时,可以导出镜像。
  • 拥有该权限的用户同时拥有TMS Administrator 权限,镜像添加标签和使用标签搜索镜像时,可以查询预定义标签。
  • 拥有该权限的用户同时拥有CSBS Administrator 权限时,可以创建整机镜像。

RTS

RTS Administrator

资源模板服务

拥有该权限的用户可以创建、修改、删除云应用。

DLI

DLI Service User

数据湖探索服务

拥有该权限的用户可以拥有DLI的全部权限,包括如下操作权限:

  • 创建数据库或数据表、删除数据库或表。
  • 导入或导出数据。
  • 查询表中的数据。

TMS

TMS Administrator

标签管理服务

拥有该权限的用户可以创建、修改、删除预定义标签。

MLS

MLS Administrator

机器学习服务
  • 拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对MLS资源执行任意操作。如果没有Tenant Guest或Server Administrator权限,将无法正常使用MLS。
  • 拥有VPC Administrator权限的MLS用户可以创建VPC或子网。

OBS

OBS Bucket Viewer

对象存储服务

具备该权限的用户,可以执行获取桶列表、查询桶元数据和位置信息的操作。

BSS

BSS Administrator

账号中心

费用中心

服务支持中心

拥有该权限的用户可以对账号中心、费用中心、服务支持中心中的所有菜单项执行任意操作。

BSS Operator

账号中心

费用中心

服务支持中心

拥有该权限的用户可以:

  • 访问账号中心和服务支持中心的所有菜单项执行任意操作。
  • 在费用中心执行以下操作:
    • 查看、取消和导出订单,对资源进行续费、资费变更、退订、过期释放。
    • 查看和导出消费汇总、消费明细,分析账单。
    • 查看和激活优惠券、申请线上合同和查看商务优惠。

BSS Finance

费用中心

服务支持中心
拥有该权限的用户可以在费用中心执行以下操作:
  • 充值、提现、设置余额预警。
  • 查看、支付和导出订单,对资源进行续费。
  • 查看和导出消费汇总、消费明细和收支明细,分析账单。
  • 查看和激活优惠券、开具发票、申请线上合同和查看商务优惠。

NAT Gateway

NAT Gateway Administrator

NAT网关

管理NAT网关所有资源,同时也具有VPC,floatingips,port的管理权限。NAT权限依赖于Guest权限。

如果NAT用户需要创建subnets,VPC Administrator权限也需要。

FSS

FunctionStage Administrator

函数服务

可以创建、删除、修改、查询函数和触发器,可以触发函数。

FunctionStage Invoker

可以查询函数和触发器,可以触发函数。

CDM

CDM Administrator

云数据迁移

拥有该权限的用户可以对云数据迁移中的所有菜单项执行任意操作。

DMS

DMS Administrator

分布式消息服务

拥有该权限的用户可以执行以下操作:

  • 创建、删除队列。
  • 创建、删除消费组。
  • 生产消息。
  • 消费消息。

用户创建Kafka专享实例或者RabbitMQ实例时,需要同时拥有Server Administrator权限和VPC Administrator权限。

CloudTable

CloudTable

Administrator

表格存储服务

CloudTable管理员权限,拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对CloudTable资源执行任意操作。如果没有Tenant Guest或Server Administrator权限,将无法正常使用CloudTable。拥有该权限的用户可以执行的操作如下:

  • 创建、重启、删除CloudTable集群。
  • 开启OpenTSDB功能,开启GeoMesa功能。
  • 查看、配置CloudTable集群参数。
  • 查看CloudTable服务概览信息、集群列表、集群详细信息。
  • 查看CloudTable服务监控信息、告警列表。
  • 查询CloudTable服务操作日志。

DBSS

DBSS System Administrator

数据库安全服务
拥有该权限的用户可以对数据库安全执行以下操作:
  • 购买实例
  • 删除实例
  • 获取实例列表
  • 开启、关闭、重启实例
  • 升级服务实例
  • 绑定、解绑弹性IP
说明:

购买实例需要同时具有VPC和BSS权限。

DBSS Audit Administrator
拥有该权限的用户可以对数据库安全执行以下操作:
  • 获取实例列表
  • 登录数据库安全服务管理控制台

DBSS Security Administrator
拥有该权限的用户可以对数据库安全执行以下操作:
  • 获取实例列表
  • 登录数据库安全服务管理控制台

SES

SES Administrator

安全专家服务

拥有该权限的用户可以执行以下操作:

  • 购买安全专家服务
  • 补充、修改服务单信息
  • 查看服务单列表、服务单详情
  • 对待评测/加固/监测的主机/域名进行认证
  • 下载评测报告
  • 评价安全专家服务

CGS

CGS Administrator

容器安全服务

拥有该权限的用户可以执行以下操作:

  • 安装、卸载容器安全Shield
  • 开启、关闭节点防护
  • 添加、编辑、删除、应用策略
  • 忽略镜像上的漏洞
  • 取消忽略镜像上的漏洞
  • 查看集群列表、节点列表
  • 查看策略列表、镜像应用的策略
  • 查看漏洞信息
  • 查看容器运行时的异常信息

权限信息

选中某一权限名称,例如:VPC Administrator,下侧区域则显示该权限的详细信息(JSON格式)。每个权限的详细信息包括一个或多个语句,每个语句描述一组权限。

下面是VPC Administrator权限信息的示例,参数说明如表3所示。

描述 VPC Administrator
内容 {
        "Version": "1.0",
        "Statement": [
                {
                        "Effect": "Allow",
                        "Action": [
                                "VPC:vpc:*",
                                "VPC:router:*",
                                "VPC:network:*",
                                "VPC:subnet:*",
                                "VPC:privateip:*",
                                "VPC:port:*",
                                "VPC:vpn:*",
                                "VPC:lbaas:*"
                        ]
                }
        ],
        "Depends": [
                {
                        "catalog": "BASE",
                        "display_name": "Tenant Guest"
                }
        ]
}
表3 参数说明

参数

含义

参数值

描述

权限的名称

例如:VPC Administrator

内容

权限的详细信息(JSON格式)

-

Version

权限的版本
  • 1.0:系统预置的云服务权限,非细粒度权限
  • 1.1:细粒度权限

Statement

(授权语句)

Effect

定义Action所包含的操作是否允许执行。

取值范围:

  • Allow:允许执行。
  • Deny:不允许执行。

当策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

Action

定义在服务上可执行的具体操作。

格式为:服务名:资源类型:操作,例如:vpc:subnet:*

表示对子网的所有操作(其中vpc为服务名称;subnet为资源类型;“*”为通配符,表示所有操作)。

Depends(该权限所依赖的其他权限)

说明:

选择权限时,必须同时勾选该权限所依赖的其他权限,当前权限才能生效。

catalog

依赖的其他权限的所属服务。

服务名称

例如:BASE

display_name

依赖的其他权限的名称。

权限名称

例如:Tenant Guest

文档是否有解决您的问题?

有帮助 没有帮助

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

在文档使用中是否遇到以下问题







请至少选择或填写一项反馈信息

字符长度不能超过100

反馈内容不能为空!

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区