文档首页 > > 权限策略> 权限策略

权限策略

更新时间: 2019/10/23 GMT+08:00

策略是以JSON格式描述权限集的语言。默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。IAM预置了各服务的常用权限,例如管理员权限、只读权限,您可以直接使用这些系统策略。

所属区域:权限的生效区域,需要授权的服务的部署区域进行选择。
  • 全局区域:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。
  • 全局区域 对象存储项目:对象存储服务与其他所有服务隔离部署,在独立的全局区域-对象存储项目中授权。
  • 除全局区域外的其他区域:服务部署时通过物理区域划分,为项目级服务,在除全局区域外的其他区域中授权,并且只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。

策略类别:策略根据授权精度分为细粒度策略和Role-Based Access Control(RBAC)策略。细粒度策略是RBAC策略的升级版,当前处于公测阶段,推荐您开通细粒度策略,开通后可以免费使用。

  • 如果不开通细粒度策略功能,则无法使用细粒度策略,只能使用RBAC策略。
  • 如果一个服务只有细粒度策略,没有RBAC策略,在没有开通细粒度策略功能时,无法给IAM用户授予该服务的权限,例如AOM。
  • 开通了细粒度策略功能后,如果一个服务同时有细粒度策略和RBAC策略,建议优先选择细粒度策略进行授权。
  • 支持细粒度策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的资源类型进行指定的操作。

系统策略列表

服务

所属区域

系统策略

策略类别

操作权限

BASE

全局区域

Full Access

细粒度

支持细粒度授权服务的所有权限。

所有区域

Tenant Administrator

RBAC

除统一身份认证服务外,其他所有服务的所有权限。

所有区域

Tenant Guest

RBAC

除统一身份认证服务外,其他所有服务的只读权限。

全局区域

Security Administrator

RBAC

统一身份认证服务的所有执行权限。

全局区域

Agent Operator

RBAC

切换角色并访问委托方账号中的资源。

对象存储服务(OBS)

全局区域对象存储服务项目

OBS Operator

细粒度

查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

OBS Viewer

查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限,无其他权限。

OBS Buckets Viewer

RBAC

列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。

内容分发网络(CDN)

(全局级服务)

全局区域

CDN Domain Viewer

细粒度

内容分发网络加速域名信息的只读权限。

CDN Statistics Viewer

内容分发网络统计信息的只读权限。

CDN Logs Viewer

内容分发网络日志的只读权限。

CDN Domain

Configuration

Operator

内容分发网络加速域名的配置权限。

CDN Refresh

And Preheat

Operator

内容分发网络刷新预热权限。

CDN Administrator

RBAC

内容分发网络的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

业务支撑系统

(BSS)

(项目级服务)

除全局区域外的其他区域

须知:

授权时,除了全局区域外,需要授予其他所有区域的权限。

BSS Administrator

RBAC

费用中心、资源中心、账号中心的所有执行权限。

BSS Operator

费用中心的查询权限,资源中心和账号中心的管理权限。

BSS Finance

  • 充值、提现、设置余额预警。
  • 查看、支付和导出订单,对资源进行续费。
  • 查看和导出消费汇总、消费明细和收支明细,分析账单。
  • 查看和激活优惠券、开具发票、申请线上合同和查看商务优惠。

EnterpriseProject_

BSS_Administrator

细粒度

企业项目费用的管理权限。

弹性云服务器(ECS)

云硬盘(EVS)

虚拟私有云(VPC)

镜像服务(IMS)

(项目级服务)

除全局区域外的其他区域

Server Administrator

细粒度

  • 弹性云服务器的所有执行权限,该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

    如果在操作过程中涉及其他服务资源的创建、删除、变更等,则还需要在同项目中勾选对应服务的Administrator权限

    例如:在控制台创建ECS时如需创建新的VPC,则需额外授予创建VPC的VPC Administrator权限。

  • 云硬盘服务的所有执行权限。
  • 对弹性IP地址、安全组、端口进行任意操作,该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest
  • 创建、删除、查询、修改及上传镜像,该策略有依赖,需要在同项目中勾选依赖的策略:IMS Administrator。

弹性云服务器(ECS)

(项目级服务)

除全局区域外的其他区域

ECS Admin

细粒度

弹性云服务器的所有执行权限。

ECS Viewer

弹性云服务器的只读权限。

ECS User

开机、关机、重启、查询弹性云服务器。

弹性伸缩(AS)

(项目级服务)

除全局区域外的其他区域

AutoScaling Admin

细粒度

弹性伸缩全部资源的所有执行权限。

AutoScaling Viewer

弹性伸缩全部资源的只读权限。

AutoScaling Administrator

RBAC

对弹性伸缩全部资源的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:ELB Administrator、CES Administrator。

镜像服务(IMS)

(项目级服务)

除全局区域外的其他区域

IMS Admin

细粒度

镜像服务的所有执行权限。

IMS Viewer

镜像服务的只读权限。

IMS Administrator

RBAC

镜像服务的所有执行权限。

该策略有依赖,需要在全局区域(全局级)对象存储服务项目中勾选依赖的策略:Tenant Administrator。

云硬盘(EVS)

(项目级服务)

除全局区域外的其他区域

EVS Admin

细粒度

云硬盘的所有执行权限。

EVS Viewer

云硬盘的只读权限。

云服务器备份(CSBS)

(项目级服务)

除全局区域外的其他区域

CSBS Administrator

RBAC

云服务器备份的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Server Administrator。

云硬盘备份(VBS)

(项目级服务)

除全局区域外的其他区域

VBS Administrator

RBAC

云硬盘备份的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

专属分布式存储服务(DSS)

(项目级服务)

除全局区域外的其他区域

DSS Admin

RBAC

专属分布式存储服务的所有执行权限。

DSS Viewer

专属分布式存储服务的只读权限。

虚拟私有云(VPC)

(项目级服务)

除全局区域外的其他区域

VPC Admin

细粒度

虚拟私有云的所有执行权限。

VPC Viewer

虚拟私有云的只读权限。

VPC Administrator

RBAC

虚拟私有云的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

云容器引擎(CCE)

(项目级服务)

除全局区域外的其他区域

CCE Admin

细粒度

云容器引擎服务的所有执行权限。

CCE Viewer

云容器引擎服务的只读权限以及对kubernetes资源的所有执行权限。

CCE Administrator

RBAC

云容器引擎服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator、 SFS Administrator、SWR Admin、APM Admin,以及全局区域(全局级)对象存储服务项目中勾选依赖的策略:OBS Operator。

表格存储服务(CloudTable)

(项目级服务)

除全局区域外的其他区域

CloudTable

Administrator

RBAC

表格存储服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

云解析服务(DNS)

(项目级服务)

除全局区域外的其他区域

DNS Administrator

RBAC

云解析服务的所有执行权限。

云审计服务(CTS)

(项目级服务)

除全局区域外的其他区域

CTS Administrator

RBAC

云审计服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、以及全局区域(全局级)对象存储服务项目中勾选依赖的策略:Tenant Administrator。

消息通知服务(SMN)

(项目级服务)

除全局区域外的其他区域

SMN Administrator

RBAC

消息通知服务的所有执行权限。

关系型数据库(RDS)

(项目级服务)

除全局区域外的其他区域

RDS Admin

细粒度

关系型数据库的所有执行权限。

RDS Viewer

关系型数据库的只读权限。

RDS DBA

关系型数据库除删除操作外的DBA权限。

RDS Administrator

RBAC

关系型数据库的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

分布式消息服务(DMS)

(项目级服务)

除全局区域外的其他区域

DMS Administrator

RBAC

分布式消息服务的所有执行权限。

文档数据库服务(DDS)

(项目级服务)

除全局区域外的其他区域

DDS Admin

细粒度

文档数据库服务的所有执行权限。

DDS Viewer

文档数据库服务的只读权限。

DDS DBA

文档数据库服务除删除操作外的DBA权限。

DDS Administrator

RBAC

文档数据库服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

如果配置了DDS企业项目,需要在同项目中勾选DAS Admin策略,才可以通过DDS界面登录到DAS服务。

数据复制服务(DRS)

(项目级服务)

除全局区域外的其他区域

DRS Administrator

RBAC

数据复制服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

数据管理服务(DAS)

(项目级服务)

除全局区域外的其他区域

DAS Administrator

RBAC

数据管理服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

应用运维管理服务(AOM)

(项目级服务)

除全局区域外的其他区域

AOM Admin

细粒度

应用运维管理服务的所有执行权限。

AOM Viewer

应用运维管理服务的只读权限。

应用性能管理服务(APM)

(项目级服务)

除全局区域外的其他区域

APM Admin

细粒度

应用性能管理服务的所有执行权限。

APM Viewer

应用性能管理服务的只读权限。

容器镜像服务(SWR)

(项目级服务)

除全局区域外的其他区域

SWR Admin

RBAC

容器镜像服务的所有执行权限。

云监控服务(Cloud Eye)

(项目级服务)

除全局区域外的其他区域

CES Administrator

RBAC

云监控服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、server administrator。

除全局区域外的其他区域

CES Admin

细粒度

云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持细粒度授权特性,才可以正常使用。

除全局区域外的其他区域

CES Viewer

云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持细粒度授权特性,才可以正常使用。

Web应用防火墙(WAF)

(项目级服务)

除全局区域外的其他区域

WAF Administrator

RBAC

Web应用防火墙的所有执行权限。

企业主机安全(HSS)

(项目级服务)

除全局区域外的其他区域

HSS Administrator

RBAC

企业主机安全的所有执行权限。

漏洞扫描服务(VSS)

(项目级服务)

除全局区域外的其他区域

VSS Administrator

RBAC

漏洞扫描服务的所有执行权限。

安全专家服务(SES)

(项目级服务)

除全局区域外的其他区域

SES Administrator

RBAC

安全专家服务的所有执行权限。

数据库安全服务(DBSS)

(项目级服务)

除全局区域外的其他区域

DBSS System Administrator

RBAC

数据库安全服务的所有执行权限。

DBSS Audit Administrator

数据库安全服务的安全审计权限。

DBSS Security Administrator

数据库安全服务的安全防护权限。

数据加密服务(DEW)

(项目级服务)

除全局区域外的其他区域

KMS Administrator

RBAC

数据加密服务的所有执行权限。

Anti-DDoS流量清洗

(项目级服务)

除全局区域外的其他区域

Anti-DDoS Administrator

RBAC

Anti-DDoS流量清洗的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

弹性文件服务(SFS)

(项目级服务)

除全局区域外的其他区域

SFS Admin

细粒度

弹性文件服务的所有执行权限。

SFS Viewer

弹性文件服务的只读权限。

SFS Administrator

RBAC

弹性文件服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

分布式缓存服务(DCS)

(项目级服务)

除全局区域外的其他区域

DCS Admin

细粒度

分布式缓存服务的所有执行权限。

DCS User

分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。

DCS Viewer

分布式缓存服务的只读权限。

DCS Administrator

RBAC

分布式缓存服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

MapReduce服务(MRS)

(项目级服务)

除全局区域外的其他区域

MRS Admin

细粒度

MapReduce服务的所有执行权限。

MRS User

MapReduce服务的普通用户权限(无新增、删除资源权限)。

MRS Viewer

MapReduce服务的只读权限。

MRS Administrator

RBAC

MapReduce服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

微服务云应用平台(ServiceStage)

云性能测试服务

(CPTS)

(项目级服务)

除全局区域外的其他区域

SvcStg Admin

RBAC

  • 微服务云应用平台的所有执行权限,包括服务管理权限、应用管理权限、节点管理权限、堆栈管理权限、流水线管理权限。
  • 拥有该权限的用户对CPTS的所有用户下的测试资源具有执行权限(如增删改查),能够操作所有用户的测试资源

SvcStg Developer

  • 微服务云应用平台的普通用户权限,与所有执行权限相比,没有节点管理权限。
  • 拥有该权限的用户只对本用户测试资源具有执行权限(如增删改查)。

SvcStg Operator

  • 微服务云应用平台的只读权限。
  • 对本用户测试资源具有可读权限。

云桌面(Workspace)

(项目级服务)

除全局区域外的其他区域

Workspace Administrator

RBAC

云桌面的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator、VPC Administrator。

弹性负载均衡(ELB)

(项目级服务)

除全局区域外的其他区域

ELB Admin

细粒度

弹性负载均衡的所有执行权限。

ELB Viewer

弹性负载均衡的只读权限。

ELB Service Administrator

RBAC

弹性负载均衡的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

NAT网关(NAT)

(项目级服务)

除全局区域外的其他区域

NAT Admin

细粒度

NAT网关的所有执行权限。

NAT Viewer

NAT网关的只读权限。

NAT Gateway Administrator

RBAC

NAT网关的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

云专线(DC)

(项目级服务)

除全局区域外的其他区域

Direct Connect Administrator

RBAC

云专线服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

云备份(CBR)

(项目级服务)

除全局区域外的其他区域

CBR Admin

细粒度

云备份管理员权限,拥有该权限的用户可以操作并使用所有存储库和策略。

CBR User

细粒度

云备份普通用户权限,拥有该权限的用户可以创建、查看和删除存储库等。

CBR Viewer

细粒度

云备份只读权限,拥有该权限的用户仅能查看云备份数据。

图引擎服务(GES)

(项目级服务)

除全局区域外的其他区域

GES Administrator

RBAC

图引擎服务的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest、Server Administrator。

GES Operator

只读图、访问图权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Guest。

除全局区域外的其他区域

GES Admin

细粒度

图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。

GES User

图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图以外所有操作。

GES Viewer

图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。

数据湖工厂(DLF)

(项目级服务)

除全局区域外的其他区域

DLF Administrator

RBAC

数据湖工厂的所有执行权限。

该策略有依赖,需要在同项目中勾选依赖的策略:Tenant Administrator

DLF Admin

细粒度

数据湖工厂服务所有权限

DLF Developer

数据湖工厂服务的开发者权限,拥有该权限的用户能使用DLF进行脚本开发与作业编排,但是不具备对工作区的增删改权限。

DLF Operator

数据湖工厂服务的运维人员权限,拥有该权限的用户可以对DLF的脚本与作业等资源进行运维,但不具备对各种资源的增删改权限。

DLF Viewer

数据湖工厂服务的只读权限,拥有该权限的用户仅能查看DLF的资源。

ModelArts

(项目级服务)

除全局区域外的其他区域

ModelArts Admin

细粒度

ModelArts管理员权限,拥有ModelArts所有的权限。

ModelArts User

ModelArts操作权限,拥有除了管理专属资源池之外的所有操作权限。

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

在文档使用中是否遇到以下问题







请至少选择或填写一项反馈信息

字符长度不能超过200

反馈内容不能为空!

提交反馈 取消