文档首页 > > 系统权限

系统权限

更新时间: 2020/04/18 GMT+08:00

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

所属区域:权限的生效区域,需要授权的服务的范围选择。
  • 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。
  • 区域级项目:服务部署时通过物理区域划分,在除全局区域外的其他区域中授权,并且只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。

权限类别:权限根据授权粒度分为角色和策略。策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。

  • 如果一个服务同时有策略和角色,建议优先选择策略进行授权。
  • 支持策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。

系统策略列表

服务

所属区域

系统权限

权限类别

权限描述

BASE

全局区域

FullAccess

策略

支持策略授权服务的所有权限。

全局区域

IAM ReadOnlyAccess

策略

统一身份认证服务的只读权限,拥有对用户、用户组、策略、委托、账号安全设置等资源的查看权限,暂不包含项目和身份提供商查看权限。

所有区域

Tenant Administrator

角色

除统一身份认证服务外,其他所有服务的所有权限。

所有区域

Tenant Guest

角色

除统一身份认证服务外,其他所有服务的只读权限。

全局区域

Security Administrator

角色

统一身份认证服务的所有执行权限。

全局区域

Agent Operator

角色

切换角色并访问委托方账号中的资源。

对象存储服务(OBS)

全局区域

OBS OperateAccess

策略

查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限

OBS ReadOnlyAccess

查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限,无其他权限。

OBS Buckets Viewer

角色

列举桶、获取桶基本信息、获取桶元数据的操作。

内容分发网络(CDN)

(全局级服务)

全局区域

CDN DomainReadOnlyAccess

策略

内容分发网络加速域名信息的只读权限。

CDN StatisticsReadOnlyAccess

内容分发网络统计信息的只读权限。

CDN LogsReadOnlyAccess

内容分发网络日志的只读权限。

CDN Domain

Configuration

Operator

内容分发网络加速域名的配置权限。

CDN RefreshAndPreheatAccess

内容分发网络刷新预热权限。

CDN Administrator

角色

内容分发网络的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

SSL证书管理(SCM)

(全局级服务)

全局区域

SCM Administrator

角色

SSL证书管理服务的管理员权限,拥有服务的所有权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator

SCM FullAccess

策略

SSL证书管理服务的所有权限。

SCM ReadOnlyAccess

SSL证书管理服务只读权限,拥有该权限的用户仅能查询证书信息,不具备对证书进行增删改权限。

业务支撑系统

(BSS)

(项目级服务)

除全局区域外的其他区域

须知:

授权时,除了全局区域外,需要授予其他所有区域的权限。

BSS Administrator

角色

费用中心、资源中心、账号中心的所有执行权限。

BSS Operator

费用中心的查询权限,资源中心和账号中心的管理权限。

BSS Finance

  • 充值、提现、设置余额预警。
  • 查看、支付和导出订单,对资源进行续费。
  • 查看和导出消费汇总、消费明细和收支明细,分析账单。
  • 查看和激活优惠券、开具发票、申请线上合同和查看商务优惠。

EnterpriseProject BSS FullAccess

策略

企业项目费用的管理权限。

弹性云服务器(ECS)

云硬盘(EVS)

虚拟私有云(VPC)

镜像服务(IMS)

(项目级服务)

除全局区域外的其他区域

Server Administrator

角色

  • 弹性云服务器的所有执行权限,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

    如果在操作过程中涉及其他服务资源的创建、删除、变更等,则还需要在同项目中勾选对应服务的Administrator权限

    例如:在控制台创建ECS时如需创建新的VPC,则需额外授予创建VPC的VPC Administrator权限。

  • 云硬盘服务的所有执行权限。
  • 对弹性IP地址、安全组、端口进行任意操作,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest
  • 创建、删除、查询、修改及上传镜像,该角色有依赖,需要在同项目中勾选依赖的角色:IMS Administrator。

弹性云服务器(ECS)

(项目级服务)

除全局区域外的其他区域

ECS FullAccess

策略

弹性云服务器的所有执行权限。

ECS ReadOnlyAccess

弹性云服务器的只读权限。

ECS CommonOperations

开机、关机、重启、查询弹性云服务器。

弹性伸缩(AS)

(项目级服务)

除全局区域外的其他区域

AutoScaling FullAccess

策略

弹性伸缩全部资源的所有执行权限。

AutoScaling ReadOnlyAccess

弹性伸缩全部资源的只读权限。

AutoScaling Administrator

角色

对弹性伸缩全部资源的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:ELB Administrator、CES Administrator。

镜像服务(IMS)

(项目级服务)

除全局区域外的其他区域

IMS FullAccess

策略

镜像服务的所有执行权限。

IMS ReadOnlyAccess

镜像服务的只读权限。

IMS Administrator

角色

镜像服务的所有执行权限。

该角色有依赖,需要在全局服务中勾选依赖的角色:Tenant Administrator。

云硬盘(EVS)

(项目级服务)

除全局区域外的其他区域

EVS FullAccess

策略

云硬盘的所有执行权限。

EVS ReadOnlyAccess

云硬盘的只读权限。

云服务器备份(CSBS)

(项目级服务)

除全局区域外的其他区域

CSBS Administrator

角色

云服务器备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator。

云硬盘备份(VBS)

(项目级服务)

除全局区域外的其他区域

VBS Administrator

角色

云硬盘备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

专属分布式存储服务(DSS)

(项目级服务)

除全局区域外的其他区域

DSS FullAccess

策略

专属分布式存储服务的所有执行权限。

DSS ReadOnlyAccess

专属分布式存储服务的只读权限。

虚拟私有云(VPC)

(项目级服务)

除全局区域外的其他区域

VPC FullAccess

策略

虚拟私有云的所有执行权限。

VPC ReadOnlyAccess

虚拟私有云的只读权限。

VPC Administrator

角色

虚拟私有云的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云容器引擎(CCE)

(项目级服务)

除全局区域外的其他区域

CCE FullAccess

策略

云容器引擎服务的所有执行权限。

CCE ReadOnlyAccess

云容器引擎服务的只读权限以及对kubernetes资源的所有执行权限。

CCE Administrator

角色

具有CCE集群及集群下所有资源(包含集群、节点、工作负载、任务、服务等)的读写权限。

该角色有依赖,需要同时又拥有以下权限:

全局服务:OBS Buckets Viewer。

区域级项目(在同项目中勾选):Tenant Guest、Server Administrator、ELB Administrator、OBS Administrator、SFS Administrator、SWR Admin、APM FullAccess。

说明:

如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。

表格存储服务(CloudTable)

(项目级服务)

除全局区域外的其他区域

CloudTable

Administrator

角色

表格存储服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

云解析服务(DNS)

(项目级服务)

除全局区域外的其他区域

DNS Administrator

角色

云解析服务的所有执行权限。

DNS FullAccess

策略

云解析服务管理员权限,拥有该权限的用户可以拥有DNS的全部权限,包括创建、删除、查询、修改等操作。

DNS ReadOnlyAccess

云解析服务只读权限,拥有该权限的用户仅能查看DNS的资源。

云审计服务(CTS)

(项目级服务)

除全局区域外的其他区域

CTS Administrator

角色

云审计服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、、Tenant Administrator。

消息通知服务(SMN)

(项目级服务)

除全局区域外的其他区域

SMN Administrator

角色

消息通知服务的所有执行权限。

关系型数据库(RDS)

(项目级服务)

除全局区域外的其他区域

RDS FullAccess

策略

关系型数据库的所有执行权限。

RDS ReadOnlyAccess

关系型数据库的只读权限。

RDS UserAccess

关系型数据库除删除操作外的DBA权限。

RDS Administrator

角色

关系型数据库的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

分布式消息服务(DMS)

(项目级服务)

除全局区域外的其他区域

DMS Administrator

角色

分布式消息服务的所有执行权限。

分布式消息服务

(DMS Kafka、DMS RabbitMQ)

(项目级服务)

除全局区域外的其他区域

DMS UseAccess

策略

分布式消息服务(DMS Kafka、DMS RabbitMQ)普通用户权限(没有实例创建、修改、删除、扩容、转储)。

DMS ReadOnlyAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)的只读权限,拥有该权限的用户仅能查看分布式消息服务数据。

DMS FullAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)管理员权限,拥有该权限的用户可以操作所有分布式消息服务的功能。

文档数据库服务(DDS)

(项目级服务)

除全局区域外的其他区域

DDS FullAccess

策略

文档数据库服务的所有执行权限。

DDS ReadOnlyAccess

文档数据库服务的只读权限。

DDS ManageAccess

文档数据库服务除删除操作外的DBA权限。

DDS Administrator

角色

文档数据库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

如果配置了DDS企业项目,需要在同项目中勾选DAS Admin角色,才可以通过DDS界面登录到DAS服务。

数据复制服务(DRS)

(项目级服务)

除全局区域外的其他区域

DRS Administrator

角色

数据复制服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

数据管理服务(DAS)

(项目级服务)

除全局区域外的其他区域

DAS Administrator

角色

数据管理服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

应用运维管理服务(AOM)

(项目级服务)

除全局区域外的其他区域

AOM FullAccess

策略

应用运维管理服务的所有执行权限。

AOM ReadOnlyAccess

应用运维管理服务的只读权限。

应用性能管理服务(APM)

(项目级服务)

除全局区域外的其他区域

APM FullAccess

策略

应用性能管理服务的所有执行权限。

APM ReadOnlyAccess

应用性能管理服务的只读权限。

容器镜像服务(SWR)

(项目级服务)

除全局区域外的其他区域

SWR Admin

角色

容器镜像服务的所有执行权限。

云监控服务(Cloud Eye)

(项目级服务)

除全局区域外的其他区域

CES Administrator

角色

云监控服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、server administrator。

除全局区域外的其他区域

CES FullAccess

策略

云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用。

除全局区域外的其他区域

CES ReadOnlyAccess

云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用。

Web应用防火墙(WAF)

(项目级服务)

除全局区域外的其他区域

WAF Administrator

角色

Web应用防火墙的所有执行权限。

企业主机安全(HSS)

(项目级服务)

除全局区域外的其他区域

HSS Administrator

角色

企业主机安全的所有执行权限。

HSS FullAccess

策略

企业主机安全服务所有权限。

HSS ReadOnlyAccess

企业主机安全服务的只读访问权限。

漏洞扫描服务(VSS)

(项目级服务)

除全局区域外的其他区域

VSS Administrator

角色

漏洞扫描服务的所有执行权限。

安全专家服务(SES)

(项目级服务)

除全局区域外的其他区域

SES Administrator

角色

安全专家服务的所有执行权限。

数据库安全服务(DBSS)

(项目级服务)

除全局区域外的其他区域

DBSS System Administrator

角色

数据库安全服务的所有执行权限。

DBSS Audit Administrator

数据库安全服务的安全审计权限。

DBSS Security Administrator

数据库安全服务的安全防护权限。

数据加密服务(DEW)

(项目级服务)

除全局区域外的其他区域

KMS Administrator

角色

数据加密服务的所有执行权限。

Anti-DDoS流量清洗

(项目级服务)

除全局区域外的其他区域

Anti-DDoS Administrator

角色

Anti-DDoS流量清洗的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

弹性文件服务(SFS)

(项目级服务)

除全局区域外的其他区域

SFS FullAccess

策略

弹性文件服务的所有执行权限。

SFS ReadOnlyAccess

弹性文件服务的只读权限。

SFS Administrator

角色

弹性文件服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

分布式缓存服务(DCS)

(项目级服务)

除全局区域外的其他区域

DCS FullAccess

策略

分布式缓存服务的所有执行权限。

DCS UseAccess

分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。

DCS ReadOnlyAccess

分布式缓存服务的只读权限。

DCS Administrator

角色

分布式缓存服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

MapReduce服务(MRS)

(项目级服务)

除全局区域外的其他区域

MRS FullAccess

策略

MapReduce服务的所有执行权限。

MRS CommonOperations

MapReduce服务的普通用户权限(无新增、删除资源权限)。

MRS ReadOnlyAccess

MapReduce服务的只读权限。

MRS Administrator

角色

MapReduce服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

应用管理与运维平台(ServiceStage)

云性能测试服务

(CPTS)

(项目级服务)

除全局区域外的其他区域

SvcStg Admin

角色

  • 应用管理与运维平台的所有执行权限,包括服务管理权限、应用管理权限、节点管理权限、堆栈管理权限、流水线管理权限。
  • 拥有该权限的用户对CPTS的所有用户下的测试资源具有执行权限(如增删改查),能够操作所有用户的测试资源

SvcStg Developer

  • 应用管理与运维平台的普通用户权限,与所有执行权限相比,没有节点管理权限。
  • 拥有该权限的用户只对本用户测试资源具有执行权限(如增删改查)。

SvcStg Operator

  • 应用管理与运维平台的只读权限。
  • 对本用户测试资源具有可读权限。

弹性负载均衡(ELB)

(项目级服务)

除全局区域外的其他区域

ELB FullAccess

策略

弹性负载均衡的所有执行权限。

ELB ReadOnlyAccess

弹性负载均衡的只读权限。

ELB Administrator

角色

弹性负载均衡的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

NAT网关(NAT)

(项目级服务)

除全局区域外的其他区域

NAT FullAccess

策略

NAT网关的所有执行权限。

NAT ReadOnlyAccess

NAT网关的只读权限。

NAT Gateway Administrator

角色

NAT网关的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云专线(DC)

(项目级服务)

除全局区域外的其他区域

Direct Connect Administrator

角色

云专线服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云备份(CBR)

(项目级服务)

除全局区域外的其他区域

CBR FullAccess

策略

云备份管理员权限,拥有该权限的用户可以操作并使用所有存储库和策略。

CBR BackupsAndVaultsFullAccess

策略

云备份普通用户权限,拥有该权限的用户可以创建、查看和删除存储库等。

CBR ReadOnlyAccess

策略

云备份只读权限,拥有该权限的用户仅能查看云备份数据。

图引擎服务(GES)

(项目级服务)

除全局区域外的其他区域

GES Administrator

角色

图引擎服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

GES Manager

GES服务高级用户,可以对GES资源执行除创建图和删除图以外的任意操作。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

GES Operator

只读图、访问图权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

除全局区域外的其他区域

GES FullAccess

策略

图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。

GES Development

图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图以外所有操作。

GES ReadOnlyAccess

图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。

数据湖工厂(DLF)

(项目级服务)

除全局区域外的其他区域

DLF Administrator

角色

数据湖工厂的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Administrator

DLF FullAccess

策略

数据湖工厂服务所有权限

DLF Development

数据湖工厂服务的开发者权限,拥有该权限的用户能使用DLF进行脚本开发与作业编排,但是不具备对工作区的增删改权限。

DLF OperationAndMaintenanceAccess

数据湖工厂服务的运维人员权限,拥有该权限的用户可以对DLF的脚本与作业等资源进行运维,但不具备对各种资源的增删改权限。

DLF ReadOnlyAccess

数据湖工厂服务的只读权限,拥有该权限的用户仅能查看DLF的资源。

ModelArts

(项目级服务)

除全局区域外的其他区域

ModelArts FullAccess

策略

ModelArts管理员权限,拥有ModelArts所有的权限。

ModelArts CommonOperations

ModelArts操作权限,拥有除了管理专属资源池之外的所有操作权限。

数据仓库服务(DWS)

(项目级服务)

除全局区域外的其他区域

DWS FullAccess

策略

数据仓库服务的所有执行权限。

DWS ReadOnlyAccess

数据仓库服务的只读权限。

DWS Administrator

角色

数据仓库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

DWS Database Access

数据仓库服务数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。

实时流计算服务(CS)

(项目级服务)

除全局区域外的其他区域

CS FullAccess

策略

实时流计算服务的所有执行权限。

CS CommonOperations

实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。

CS ReadOnlyAccess

实时流计算服务只读权限,拥有该权限的用户仅能查看实时流计算服务的作业、模板和独享集群。

CS Tenant User

角色

实时流计算服务普通用户权限,拥有该权限的用户可以创建、删除、修改作业和模板。

CS Tenant Admin

实时流计算服务管理员权限,拥有实时流计算服务所有权限。

操作权限:

  • 创建、删除、修改作业、模板和独享集群。
  • 为具有CS CommonOperations权限的子用户分配可用集群和可用配额。
  • 查看独享集群里的所有用户作业。

数据湖探索(DLI)

(项目级服务)

除全局区域外的其他区域

DLI Service Admin

角色

数据湖探索的所有执行权限。

DLI Service User

数据湖探索的使用权限,无创建资源权限。

数据接入服务(DIS)

(项目级服务)

除全局区域外的其他区域

DIS Administrator

角色

数据接入服务的所有执行权限。

DIS Operator

通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。

DIS User

通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。

对话机器人服务(CBS)

(项目级服务)

除全局区域外的其他区域

CBS Administrator

角色

对话机器人服务的所有执行权限。

CBS Guest

对话机器人服务的只读权限。

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

在文档使用中是否遇到以下问题







请至少选择或填写一项反馈信息

字符长度不能超过200

反馈内容不能为空!

提交反馈 取消