系统权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。请参考常见系统权限设置案例为IAM用户授权。
- 全局服务:服务部署时不区分物理区域,为全局级服务,在全局服务中授权,如OBS、CDN等。
- 区域级项目:服务部署时通过物理区域划分,在区域级项目中授权,并且只在授权区域生效,如ECS、BMS等。
- 所有项目:选择所有项目后,授权将对所有项目都生效,包括全局服务和所有项目(包括未来创建的项目)。
- 项目:选择对应项目,授权将对指定项目生效。
权限类别:权限根据授权粒度分为角色和策略。策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。详情请参见:权限。
- 如果一个服务同时有策略和角色,建议优先选择策略进行授权。
- 支持策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。单击下表中的“策略”,查看服务支持的自定义策略授权项。
BASE
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
BASE |
全局服务 |
FullAccess |
策略 |
基于策略授权的所有服务的所有权限。 |
全局服务 |
IAM ReadOnlyAccess |
统一身份认证服务的只读权限。 |
||
所有项目 |
Tenant Guest |
角色 |
除统一身份认证服务外,其他所有服务的只读权限。 说明:
|
|
所有项目 |
Tenant Administrator |
除统一身份认证服务外,其他所有服务的管理员权限。 说明:
|
||
全局服务 |
Security Administrator |
统一身份认证服务的管理员权限。 |
||
全局服务 |
Agent Operator |
切换角色并访问委托方账号中的资源。 |
计算
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
ECS FullAccess |
弹性云服务器的所有执行权限。 |
|
ECS ReadOnlyAccess |
弹性云服务器的只读权限。 |
|||
ECS CommonOperations |
开机、关机、重启、查询弹性云服务器。 |
|||
Server Administrator |
角色 |
弹性云服务器的所有执行权限,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 如果在操作过程中涉及其他服务资源的创建、删除、变更等,则还需要在同项目中勾选对应服务的Administrator权限。 例如:在控制台创建ECS时如需创建新的VPC,则需额外授予创建VPC的VPC Administrator权限。 |
||
|
(项目级服务) |
区域级项目 |
BMS FullAccess |
裸金属服务器的所有执行权限。 |
|
BMS ReadOnlyAccess |
裸金属服务器的只读权限。 |
|||
BMS CommonOperations |
开机、关机、重启、查询裸金属服务器。 |
|||
|
(项目级服务) |
区域级项目 |
AutoScaling FullAccess |
弹性伸缩全部资源的所有执行权限。 |
|
AutoScaling ReadOnlyAccess |
弹性伸缩全部资源的只读权限。 |
|||
AutoScaling Administrator |
角色 |
对弹性伸缩全部资源的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:ELB Administrator、CES Administrator、Server Administrator、Tenant Administrator。 |
||
|
(项目级服务) |
区域级项目 |
IMS FullAccess |
镜像服务的所有执行权限。 |
|
IMS ReadOnlyAccess |
镜像服务的只读权限。 |
|||
IMS Administrator |
角色 |
镜像服务的所有执行权限。 该角色有依赖,需要勾选依赖的角色:Tenant Administrator。 |
||
Server Administrator |
创建、删除、查询、修改及上传镜像,该角色有依赖,需要在同项目中勾选依赖的角色:IMS Administrator |
|||
|
(项目级服务) |
区域级项目 |
FunctionGraph FullAccess |
FunctionGraph服务的所有执行权限。 |
|
FunctionGraph ReadOnlyAccess |
FunctionGraph服务的只读权限。 |
|||
FunctionGraph CommonOperations |
FunctionGraph服务的操作权限,包括查询函数和触发器以及调用函数。 |
|||
FunctionGraph Administrator |
角色 |
FunctionGraph函数工作流、触发器的管理权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
FunctionGraph Invoker |
FunctionGraph函数工作流、触发器的查询权限。 |
|||
|
(项目级服务) |
区域级项目 |
CPH Administrator |
角色 |
云手机的所有执行权限。 |
CPH User |
云手机的只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
DeH FullAccess |
策略 |
专属主机所有执行权限。 |
DeH CommonOperations |
专属主机基本操作权限。 |
|||
DeH ReadOnlyAccess |
专属主机只读权限,拥有该权限的用户仅能进行查询操作,可用于统计和调查。 |
存储
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(全局级服务) |
全局服务 |
OBS OperateAccess |
拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作,在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 |
|
OBS ReadOnlyAccess |
拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。 |
|||
OBS Buckets Viewer |
角色 |
拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 |
||
|
(项目级服务) |
区域级项目 |
EVS FullAccess |
云硬盘的所有权限,具有云硬盘资源的创建、扩容、挂载、卸载、查询、删除等操作权限。 |
|
EVS ReadOnlyAccess |
云硬盘的只读权限,只有云硬盘资源的查询权限。 |
|||
Server Administrator |
角色 |
云硬盘服务的所有执行权限。 |
||
|
(项目级服务) |
区域级项目 |
CBR FullAccess |
云备份管理员权限,拥有该权限的用户可以操作并使用所有存储库和策略。 |
|
CBR BackupsAndVaultsFullAccess |
云备份普通用户权限,拥有该权限的用户可以创建、查看和删除存储库等。 |
|||
CBR ReadOnlyAccess |
云备份只读权限,拥有该权限的用户仅能查看云备份数据。 |
|||
|
(全局级服务) |
全局服务 |
CDN DomainReadOnlyAccess |
内容分发网络加速域名信息的只读权限。 |
|
CDN StatisticsReadOnlyAccess |
内容分发网络统计信息的只读权限。 |
|||
CDN LogsReadOnlyAccess |
内容分发网络日志的只读权限。 |
|||
CDN DomainConfigureAccess |
内容分发网络加速域名的配置权限。 |
|||
CDN RefreshAndPreheatAccess |
内容分发网络刷新预热权限。 |
|||
CDN Administrator |
角色 |
内容分发网络的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
|
(项目级服务) |
区域级项目 |
SDRS Administrator |
角色 |
存储容灾服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
(项目级服务) |
区域级项目 |
SFS FullAccess |
弹性文件服务的所有执行权限。 |
|
SFS ReadOnlyAccess |
弹性文件服务的只读权限。 |
|||
SFS Administrator |
角色 |
弹性文件服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
|
(项目级服务) |
区域级项目 |
CSBS Administrator |
角色 |
云服务器备份的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator。 |
|
(项目级服务) |
区域级项目 |
VBS Administrator |
角色 |
云硬盘备份的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
网络
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
VPC FullAccess |
虚拟私有云的所有执行权限。 |
|
VPC ReadOnlyAccess |
虚拟私有云的只读权限。 |
|||
VPC Administrator |
角色 |
虚拟私有云的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
Server Administrator |
对弹性IP地址、安全组、端口进行任意操作。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
|||
|
(项目级服务) |
区域级项目 |
ELB FullAccess |
弹性负载均衡的所有执行权限。 |
|
ELB ReadOnlyAccess |
弹性负载均衡的只读权限。 |
|||
ELB Administrator |
角色 |
弹性负载均衡的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
|
(项目级服务) |
区域级项目 |
NAT FullAccess |
NAT网关的所有执行权限。 |
|
NAT ReadOnlyAccess |
NAT网关的只读权限。 |
|||
NAT Gateway Administrator |
角色 |
NAT网关的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
|
(项目级服务) |
区域级项目 |
Direct Connect Administrator |
角色 |
云专线服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
DCaaS Partner |
云专线服务的合作伙伴用户权限,支持为其他用户创建托管和标准连接。 |
|||
DCAAS FullAccess |
策略 |
云专线服务所有权限。 |
||
DCAAS ReadOnlyAccess |
云专线服务只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
VPN Administrator |
策略 |
虚拟专用网络的管理员权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator。 |
|
(项目级服务) |
区域级项目 |
DNS Administrator |
角色 |
云解析服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator。 |
DNS FullAccess |
云解析服务的所有执行权限。 |
|||
DNS ReadOnlyAccess |
云解析服务只读权限,拥有该权限的用户仅能查看DNS的资源。 |
|||
|
(项目级服务) |
区域级项目 |
VPCEndpoint Administrator |
角色 |
VPC终端节点的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator、VPC Administrator和DNS Administrator。 |
|
(项目级服务) |
区域级项目 |
Cross Connect Administrator |
角色 |
云连接服务的管理员权限,拥有该权限的用户拥有云连接服务所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator |
容器
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
CCE FullAccess |
云容器引擎服务集群资源的普通操作权限(包含集群创建、删除、更新等)。不包括集群(启用Kubernetes RBAC鉴权)命名空间权限以及委托授权、生成集群证书等管理员权限。 说明:
IAM用户可以在CCE控制台获取集群(启用Kubernetes RBAC鉴权)命名空间权限以及委托授权、生成集群证书等管理员权限,详情请参考:CCE权限概述。 |
|
CCE ReadOnlyAccess |
云容器引擎服务集群资源的普通只读权限,不包括集群(启用Kubernetes RBAC鉴权)命名空间权限。 |
|||
CCE Administrator |
角色 |
具有CCE集群及集群下所有资源(包含工作负载、服务等)的读写权限。 该角色有依赖,需要同时又拥有以下权限: 全局服务:OBS Buckets Viewer。 区域级项目(在同项目中勾选):Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、APM FullAccess。 说明:
如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。 |
||
|
(项目级服务) |
区域级项目 |
CCI FullAccess |
云容器实例所有权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 |
|
CCI ReadOnlyAccess |
云容器实例只读权限,拥有该权限的用户仅能查看云容器实例资源。 |
|||
CCI CommonOperations |
云容器实例普通用户,拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。 |
|||
CCI Administrator |
角色 |
云容器实例管理员权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 |
||
|
(项目级服务) |
区域级项目 |
SWR Admin |
角色 |
容器镜像服务的所有执行权限。 |
SWR FullAccess |
策略 |
容器镜像服务企业版所有权限。 |
||
SWR ReadOnlyAccess |
容器镜像服务企业版只读权限,可以查询制品仓库、Chart,创建临时凭证,下载制品等。 |
|||
SWR OperateAccess |
容器镜像服务企业版操作权限,可以查询企业版实例,操作制品仓库、组织,创建临时凭证,上传、下载制品等。 |
|||
|
(项目及服务) |
区域级项目 |
GCS Administrator |
角色 |
基因容器服务管理员。 |
GCS FullAccess |
基因容器服务的所有执行权限。 |
|||
GCS ReadOnlyAccess |
基因容器服务的只读权限。 |
|||
GCS CommonOperations |
基因容器服务的使用权限。 |
安全与合规
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
Anti-DDoS Administrator |
角色 |
Anti-DDoS流量清洗的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
CAD Administrator |
DDoS高防服务的所有执行权限。 |
|||
DDoS防护(CNAD) (全局服务) |
全局服务 |
CNAD FullAccess |
策略 |
DDoS原生专业防护所有权限。 |
CNAD ReadOnlyAccess |
DDoS原生专业防护只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
VSS Administrator |
角色 |
漏洞扫描服务的所有执行权限。 |
|
(项目级服务) |
区域级项目 |
HSS Administrator |
角色 |
企业主机安全的所有执行权限。 |
HSS FullAccess |
企业主机安全服务所有权限。 |
|||
HSS ReadOnlyAccess |
企业主机安全服务的只读访问权限。 |
|||
|
(项目级服务) |
区域级项目 |
DBSS System Administrator |
角色 |
数据库安全服务的所有执行权限。 |
DBSS Audit Administrator |
数据库安全服务的安全审计权限。 |
|||
DBSS Security Administrator |
数据库安全服务的安全防护权限。 |
|||
DBSS FullAccess |
策略 |
数据库安全服务所有权限。 |
||
DBSS ReadOnlyAccess |
数据库安全服务只读权限,拥有该权限的用户仅能查看数据库安全服务,不具备服务配置权限。 |
|||
数据加密服务(DEW)(项目级服务) |
区域级项目 |
KMS Administrator |
角色 |
数据加密服务加密密钥的管理员权限。 |
KMS CMKFullAccess |
数据加密服务加密密钥所有权限。 |
|||
DEW KeypairFullAccess |
数据加密服务密钥对所有权限。 |
|||
DEW KeypairReadOnlyAccess |
数据加密服务密钥对查看权限。 |
|||
|
(项目级服务) |
区域级项目 |
SES Administrator |
角色 |
管理检测与响应服务的管理员权限。 该角色有依赖,需要在同项目中勾选依赖的角色:BSS Administrator。 |
|
(项目级服务) |
区域级项目 |
WAF Administrator |
角色 |
Web应用防火墙的所有执行权限。 该角色有依赖,需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 |
WAF FullAccess |
Web应用防火墙服务的所有权限。 |
|||
WAF ReadOnlyAccess |
Web应用防火墙服务的只读访问权限。 |
|||
|
(全局级服务) |
全局服务 |
SCM Administrator |
角色 |
SSL证书管理服务的管理员权限,拥有服务的所有权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator |
SCM FullAccess |
SSL证书管理服务的所有权限。 |
|||
SCM ReadOnlyAccess |
SSL证书管理服务只读权限,拥有该权限的用户仅能查询证书信息,不具备对证书进行增删改权限。 |
|||
|
(项目级服务) |
区域级项目 |
CGS FullAccess |
容器安全服务所有权限。 |
|
CGS ReadOnlyAccess |
容器安全服务只读访问权限,拥有该权限的用户仅能查看容器安全服务。 |
|||
CGS Administrator |
角色 |
容器安全服务(CGS)管理员,拥有该服务下的所有权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
||
|
(全局级服务) |
全局服务 |
SA FullAccess |
态势感知的所有权限。 |
|
SA ReadOnlyAccess |
态势感知只读权限,拥有该权限的用户仅能查看态势感知数据,不具备态势感知配置权限。 |
|||
|
(项目级服务) |
区域级项目 |
CBH FullAccess |
云堡垒机实例的所有权限。 |
|
CBH ReadOnlyAccess |
云堡垒机实例只读权限,拥有该权限的用户仅能查看云堡垒机服务,不具备服务配置和操作权限。 |
|||
|
(项目级服务) |
区域级项目 |
DSC FullAccess |
数据安全中心服务所有权限。 |
|
DSC ReadOnlyAccess |
数据安全中心服务只读权限。 |
|||
DSC DashboardReadOnlyAccess |
数据安全中心服务大屏服务只读权限。 |
管理与监管
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
CES Administrator |
角色 |
云监控服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
区域级项目 |
CES FullAccess |
云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。 云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用,支持策略授权的云服务列表请参考: 使用IAM授权的云服务。 |
||
区域级项目 |
CES ReadOnlyAccess |
云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用,支持策略授权的云服务列表请参考: 使用IAM授权的云服务。 |
||
|
(项目级服务) |
区域级项目 |
AOM FullAccess |
应用运维管理服务的所有执行权限。 |
|
AOM ReadOnlyAccess |
应用运维管理服务的只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
APM FullAccess |
应用性能管理服务的所有执行权限。 |
|
APM ReadOnlyAccess |
应用性能管理服务的只读权限。 |
|||
APM Administrator |
角色 |
应用性能管理服务的所有执行权限。 |
||
|
(项目级服务) |
区域级项目 |
CTS FullAccess |
云审计服务所有权限。 说明:
开通云审计服务,需同时拥有CTS FullAccess、Security Administrator权限。 |
|
CTS ReadOnlyAccess |
云审计服务只读权限。 |
|||
CTS Administrator |
角色 |
云审计服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、以及Tenant Administrator。 |
||
|
(项目级服务) |
区域级项目 |
LTS FullAccess |
云日志服务的所有执行权限。 |
|
LTS ReadOnlyAccess |
云日志服务的只读权限。 |
|||
LTS Administrator |
角色 |
云日志服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、以及Tenant Administrator。 |
||
|
(全局级服务) |
全局服务 |
TMS Administrator |
角色 |
标签管理服务的所有执行权限。 |
资源模板服务(RTS) (项目级服务) |
区域级项目 |
RTS Administrator |
角色 |
资源模板服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator、ELB Administrator、CES Administrator。 |
|
(全局级服务) |
全局服务 |
OneAccess FullAccess |
策略 |
应用身份管理服务所有执行权限,包括自定义域名、修改域名证书等,但IAM用户不支持购买并使用OneAccess。 |
OneAccess ReadOnlyAccess |
应用身份管理服务只读权限,拥有该权限的用户仅能查看应用身份管理服务,不具备服务配置权限。 |
应用服务
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
云性能测试服务(CPTS) (项目级服务) |
区域级项目 |
ServiceStage Administrator |
角色 |
拥有该权限的用户对CPTS的所有用户下的测试资源具有执行权限(如增删改查),能够操作所有用户的测试资源。 |
ServiceStage Developer |
拥有该权限的用户只对本用户测试资源具有执行权限(如增删改查)。 |
|||
ServiceStage Operator |
拥有该权限的用户只对本用户测试资源具有可读权限。 |
|||
ServiceStage FullAccess |
应用管理与运维平台所有权限。 |
|||
ServiceStage ReadOnlyAccess |
应用管理与运维平台只读权限。 |
|||
ServiceStage Development |
应用管理与运维平台开发者权限,拥有应用、组件、环境的操作权限,但无审批权限和基础设施创建权限。 |
|||
微服务引擎服务(CSE) |
区域级项目 |
CSE FullAccess |
策略 |
微服务引擎服务所有权限。 |
CSE ReadOnlyAccess |
微服务引擎服务只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
DCS FullAccess |
分布式缓存服务的所有执行权限。 |
|
DCS UserAccess |
分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。 |
|||
DCS ReadOnlyAccess |
分布式缓存服务的只读权限。 |
|||
DCS Administrator |
角色 |
分布式缓存服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
||
|
(项目级服务) |
区域级项目 |
DMS Administrator |
角色 |
分布式消息服务的所有执行权限。 |
分布式消息服务(DMS Kafka、DMS RabbitMQ) (项目级服务) |
区域级项目 |
DMS UserAccess |
分布式消息服务(DMS Kafka、DMS RabbitMQ)普通用户权限(没有实例创建、修改、删除、扩容、转储)。 |
|
DMS ReadOnlyAccess |
分布式消息服务(DMS Kafka、DMS RabbitMQ)的只读权限,拥有该权限的用户仅能查看分布式消息服务数据。 |
|||
DMS FullAccess |
分布式消息服务(DMS Kafka、DMS RabbitMQ)管理员权限,拥有该权限的用户可以操作所有分布式消息服务的功能。 |
|||
|
(项目级服务) |
区域级项目 |
SMN Administrator |
角色 |
消息通知服务的所有执行权限。 |
SMN FullAccess |
策略 |
消息通知服务所有权限。 |
||
SMN ReadOnlyAccess |
消息通知服务的只读访问权限。 |
|||
|
(项目级服务) |
区域级项目 |
APIG Administrator |
角色 |
API网关服务的管理员权限。拥有该权限的用户可以使用共享版和专享版API网关服务的所有功能。 使用VPC通道时,用户还需具备VPC Administrator角色权限 使用自定义认证功能,用户还需具备FunctionGraph Administrator角色权限。 |
APIG FullAccess |
API网关服务所有权限。拥有该权限的用户可以使用专享版API网关服务的所有功能。 |
|||
APIG ReadOnlyAccess |
API网关服务的只读访问权限。拥有该权限的用户只能查看专享版API网关的各类信息。 |
|||
|
(项目级服务) |
区域级项目 |
BCS Administrator |
角色 |
区块链服务的管理员权限。 |
BCS FullAccess |
策略 |
区块链服务所有权限。 |
||
BCS ReadOnlyAccess |
区块链服务只读权限。 |
专属云
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
DSS FullAccess |
角色 |
专属分布式存储服务的所有执行权限。 |
DSS ReadOnlyAccess |
专属分布式存储服务的只读权限。 |
数据库
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
RDS FullAccess |
关系型数据库的所有执行权限。 |
|
RDS ReadOnlyAccess |
关系型数据库的只读权限。 |
|||
RDS ManageAccess |
关系型数据库除删除操作外的DBA权限。 |
|||
RDS Administrator |
角色 |
关系型数据库的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
||
|
(项目级服务) |
区域级项目 |
DDS FullAccess |
文档数据库服务的所有执行权限。 |
|
DDS ReadOnlyAccess |
文档数据库服务的只读权限。 |
|||
DDS ManageAccess |
文档数据库服务除删除操作外的DBA权限。 |
|||
DDS Administrator |
角色 |
文档数据库服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator 如果配置了DDS企业项目,需要在同项目中勾选DAS Admin,才可以通过DDS界面登录到DAS服务。 |
||
|
(项目级服务) |
区域级项目 |
DRS Administrator |
角色 |
数据复制服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
(项目级服务) |
区域级项目 |
DAS Administrator |
角色 |
数据管理服务管理员,拥有该服务下的所有权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
DAS FullAccess |
策略 |
数据管理服务的所有权限。 |
||
|
(项目级服务) |
区域级项目 |
DDM FullAccess |
分布式数据库中间件的所有执行权限。 |
|
DDM CommonOperations |
分布式数据库中间件的普通权限。 普通权限与所有执行权限比较,普通权限不具备以下操作权限:
|
|||
DDM ReadOnlyAccess |
分布式数据库中间件的只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
GaussDB NoSQL FullAccess |
云数据库 GaussDB NoSQL服务所有权限。 |
|
GaussDB NoSQL ReadOnlyAccess |
云数据库 GaussDB NoSQL服务只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
GaussDB FullAccess |
云数据库GaussDB服务的所有执行权限。 |
|
GaussDB ReadOnlyAccess |
云数据库GaussDB服务的只读访问权限。 |
|||
|
(项目级服务) |
区域级项目 |
GaussDB FullAccess |
云数据库GaussDB服务的所有执行权限。 |
|
GaussDB ReadOnlyAccess |
云数据库GaussDB服务的只读访问权限。 |
迁移
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
CDM Administrator |
角色 |
云数据迁移的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
CDM FullAccess |
CDM管理员权限,拥有CDM服务所有权限。 |
|||
CDM FullAccessExceptUpdateEIP |
拥有除绑定/解绑EIP外的所有CDM服务权限。 |
|||
CDM CommonOperations |
拥有CDM作业和连接的操作权限。 |
|||
CDM ReadOnlyAccess |
CDM服务只读权限,拥有该权限的用户仅能查看CDM集群、连接、作业。 |
|||
|
(全局级服务) |
全局服务 |
SMS FullAccess |
策略 |
主机迁移服务所有权限。 |
SMS ReadOnlyAccess |
主机迁移服务只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
OMS Administrator |
角色 |
对象存储迁移服务所有权限。 如需使用OMS,需要为IAM用户同时授予系统策略OBS OperateAccess。 |
智能边缘
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(全局级服务) |
全局服务 |
IEC FullAccess |
智能边缘云所有权限,拥有该权限的用户可以对IEC资源执行任意操作。 |
|
IEC ReadOnlyAccess |
智能边缘云只读权限,拥有该权限的用户可以查询IEC资源的利用情况,即仅拥有IEC读权限。 |
EI 企业智能
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
ModelArts FullAccess |
ModelArts管理员权限,拥有ModelArts所有的权限。 |
|
ModelArts CommonOperations |
ModelArts操作权限,拥有除了管理专属资源池之外的所有操作权限。 |
|||
|
(项目级服务) |
区域级项目 |
DGC FullAccess |
策略 |
数据湖治理中心所有权限。 |
DGC ReadOnlyAccess |
数据湖治理中心只读权限。 |
|||
DGC CommonOperations |
数据湖治理中心操作权限。 |
|||
DGC Development |
数据湖治理中心开发权限。 |
|||
|
(项目级服务) |
区域级项目 |
MRS FullAccess |
MapReduce服务的所有执行权限。 |
|
MRS CommonOperations |
MapReduce服务的普通用户权限(无新增、删除资源权限)。 |
|||
MRS ReadOnlyAccess |
MapReduce服务的只读权限。 |
|||
MRS Administrator |
角色 |
MapReduce服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
||
|
(项目级服务) |
区域级项目 |
DWS FullAccess |
数据仓库服务的所有执行权限。 |
|
DWS ReadOnlyAccess |
数据仓库服务的只读权限。 |
|||
DWS Administrator |
角色 |
数据仓库服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
||
DWS Database Access |
数据仓库服务数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 |
|||
|
(项目级服务) |
区域级项目 |
DLI Service Admin |
角色 |
数据湖探索的所有执行权限。 |
DLI FullAccess |
数据湖探索所有权限,拥有该权限的用户拥有数据湖探索所有的执行权限。 |
|||
DLI ReadOnlyAccess |
数据湖探索只读权限,拥有该权限的用户仅有查看队列列表、作业列表、作业详情、数据库列表、表列表、显示建表语句和显示表字段以及作业创建、更新、删除等作业元数据操作权限,无其他权限。 |
|||
|
(项目级服务) |
区域级项目 |
GES Administrator |
角色 |
图引擎服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
GES Manager |
GES服务高级用户,可以对GES资源执行除创建图和删除图以外的任意操作。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
|||
GES Operator |
只读图、访问图权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。 |
|||
GES FullAccess |
图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。 |
|||
GES Development |
图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图以外所有操作。 |
|||
GES ReadOnlyAccess |
图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。 |
|||
|
(项目级服务) |
区域级项目 |
Elasticsearch Administrator |
角色 |
云搜索服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
(项目级服务) |
区域级项目 |
DIS Administrator |
角色 |
数据接入服务的所有执行权限。 |
DIS Operator |
通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。 |
|||
DIS User |
通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。 |
|||
|
(项目级服务) |
区域级项目 |
CloudTable Administrator |
角色 |
表格存储服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。 |
|
(项目级服务) |
区域级项目 |
RES FullAccess |
推荐系统的所有执行权限。 |
|
RES ReadOnlyAccess |
推荐系统的只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
CBS Administrator |
角色 |
对话机器人服务的所有执行权限。 |
CBS Guest |
对话机器人服务的只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
HiLens FullAccess |
Huawei HiLens管理员权限,拥有该权限的用户可以操作并使用所有Huawei HiLens服务。 如果需要申请公测、设置告警接收和设置技能消息的操作权限,需要在同项目中勾选SMN Administrator角色。 |
|
HiLens CommonOperations |
Huawei HiLens操作权限,拥有该权限的用户拥有Huawei HiLens服务的操作权限除了注销设备、下架技能的权限。 |
|||
HiLens ReadOnlyAccess |
Huawei HiLens只读权限,拥有该权限的用户仅能查看Huawei HiLens服务的数据。 如果需要申请公测、设置告警接收和设置技能消息的操作权限,需要在同项目中勾选SMN Administrator角色。 |
|||
|
(项目级服务) |
区域级项目 |
TICS FullAccess |
策略 |
可信智能计算服务的所有访问权限。 |
TICS ReadOnlyAccess |
可信智能计算服务的只读访问权限。 |
|||
TICS CommonOperations |
可信智能计算服务联盟、作业、代理、通知、数据集的管理权限 |
企业应用
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
Workspace Administrator |
角色 |
云桌面服务的所有执行权限。 该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator、VPC Administrator。 |
|
(项目级服务) |
区域级项目 |
ROMA Administrator |
角色 |
ROMA Connect管理员权限,拥有该权限的用户可以操作并使用所有ROMA Connect功能。 该角色有依赖,请根据需要在同项目中勾选依赖的角色:
|
ROMA FullAccess |
ROMA Connect服务所有权限,拥有该权限的用户可以操作所有ROMA Connect服务的功能。 |
|||
ROMA CommonOperations |
ROMA Connect服务普通用户权限(无实例创建、修改、删除的权限)。 |
|||
ROMA ReadOnlyAccess |
ROMA Connect服务的只读权限,拥有该权限的用户仅能查看ROMA Connect服务数据。 |
|||
ROMA资产中心(ROMA Exchange) (全局级服务、项目级服务) |
所有项目 |
ROMAExchange FullAccess |
策略 |
ROMA资产中心所有权限。 |
ROMAExchange CommonOperations |
ROMA资产中心的资产操作权限,但不包括单据审批权限。 |
|||
ROMAExchange ApprovalOperations |
ROMA资产中心的单据审批权限,但不包括资产操作权限。 |
|||
|
(项目级服务) |
区域级项目 |
CloudSite FullAccess |
策略 |
云速建站服务所有权限。 |
CloudSite ReadOnlyAccess |
云速建站服务只读权限。 |
|||
CloudSite CommonOperations |
云速建站服务基本操作权限, 包括查看和修改站点信息。 |
云通信
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
RTC Administrator |
角色 |
语音通话、消息&短信、隐私保护通话的所有执行权限。 |
|
(项目级服务) |
区域级项目 |
RTC Administrator |
角色 |
语音通话、消息&短信、隐私保护通话的所有执行权限。 |
PrivateNumber FullAccess |
策略 |
隐私保护通话服务所有权限。 |
||
PrivateNumber ReadOnlyAccess |
隐私保护通话服务只读权限。 |
视频
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
MPC Administrator |
角色 |
媒体处理的所有执行权限。 |
|
(项目级服务) |
区域级项目 |
VOD Administrator |
角色 |
视频点播服务里的所有操作权限,操作对象为所有的视频文件。 |
VOD Group Administrator |
除全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。 |
|||
VOD Group Operator |
除发布媒资、取消发布媒资、删除媒资、全局配置外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。 |
|||
VOD Group Guest |
仅具备查询视频文件的权限,操作对象为用户所在组创建的视频文件。 |
|||
实时音视频(CloudRTC) (全局服务) |
全局服务 |
RTC FullAccess |
策略 |
实时音视频服务所有权限。 |
RTC ReadOnlyAccess |
实时音视频服务只读权限。 |
开发与运维
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
|
(项目级服务) |
区域级项目 |
DevCloud Console FullAccess |
策略 |
软件开发平台控制台所有权限。 |
DevCloud Console ReadOnlyAccess |
软件开发平台控制台只读权限。 |
|||
|
(项目级服务) |
区域级项目 |
ProjectMan ConfigOperations |
策略 |
软件开发云项目配置的所有权限。 |
|
(项目级服务) |
区域级项目 |
CloudIDE FullAccess |
CloudIDE所有权限。 |
|
CloudIDE ReadOnlyAccess |
CloudIDE只读权限。 |
|||
CloudIDE Development |
CloudIDE开发权限,包括查看、启动、停止、访问实例等操作。 |
|||
CloudIDE InstanceManagement |
CloudIDE实例管理权限,用户可以管理自己拥有的实例、访问被分发给自己的实例。 |
域名与网站
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
云速建站CloudSite (项目级服务) |
区域级项目 |
CloudSite FullAccess |
策略 |
云速建站服务所有权限。 |
CloudSite ReadOnlyAccess |
云速建站服务只读权限。 |
|||
CloudSite CommonOperations |
云速建站服务基本操作权限, 包括查看和修改站点信息。 |
用户服务
服务 |
作用范围 |
系统权限 |
权限类别 |
权限描述 |
|---|---|---|---|---|
业务支撑系统(BSS) (项目级服务) 须知:
授权时,除了全局服务外,需要授予其他所有区域的权限。 |
区域级项目 |
BSS Administrator |
角色 |
费用中心、资源中心、账号中心的所有执行权限。 |
BSS Operator |
费用中心的查询权限,资源中心和账号中心的管理权限。 |
|||
BSS Finance |
财务相关的操作权限,可以提供支付、消费、发票等财务相关功能,不提供云服务的变更等功能。 |
|||
Enterprise Project BSS FullAccess |
企业项目费用的管理权限。 |
|||
|
(全局级服务) |
全局服务 |
EPS FullAccess |
|
|
EPS ReadOnlyAccess |
企业项目的只读权限,拥有该权限的用户可以执行查询操作。
|
|||
|
(全局级服务) |
全局服务 |
Ticket Administrator |
角色 |
工单管理的所有执行权限。 |
|
(全局级服务、项目级服务) |
所有项目 |
PSDMFullAccess |
策略 |
专业服务交付管理平台的所有权限。 |
PSDMReadOnlyAccess |
专业服务交付管理平台的只读权限。 |
|||
|
(全局级服务) |
全局服务 |
Beian Administrator |
角色 |
备案服务管理员,拥有备案服务的所有执行权限。 |
