更新时间:2025-12-30 gmt 08:00

基础版-j9九游会登录

云服务在iam预置了常用的权限,称为系统身份策略。如果iam系统身份策略无法满足授权要求,管理员可以根据各j9九游会登录的服务支持的授权项,创建iam自定义身份策略来进行精细的访问控制,iam自定义身份策略是对系统身份策略的扩展和补充。

除iam服务外,organizations服务中的服务控制策略(service control policy,以下简称scp)也可以使用这些授权项元素设置访问控制策略。

scp不直接进行授权,只划定权限边界。将scp绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。iam身份策略授予权限的有效性受scp限制,只有在scp允许范围内的权限才能生效。

iam服务与organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:iam服务与organizations服务权限访问控制的区别

本章节介绍iam服务身份策略授权场景中自定义身份策略和组织服务中scp使用的元素,这些元素包含了操作(action)、资源(resource)和条件(condition)。

操作(action)

操作(action)即为身份策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的urn。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于swr定义的资源类型的详细信息请参见资源类型(resource)

  • “条件键”列包括了可以在身份策略语句的condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于swr定义的条件键的详细信息请参见条件(condition)

  • “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的api访问。详细信息请参见身份策略兼容性说明

您可以在身份策略语句的action元素中指定以下swr的相关操作。

表1 swr支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

别名

swr:namespace:createnamespace

授予基础版仓库创建组织的权限。

write

namespace *

-

-

swr:namespace:deletenamespace

授予基础版仓库删除组织的权限。

write

namespace *

-

-

swr:namespace:listnamespaces

授予基础版仓库查询组织列表的权限。

list

namespace *

-

-

swr:namespace:getnamespace

授予基础版仓库获取组织详情的权限。

read

namespace *

-

-

swr:repo:createrepo

授予基础版仓库创建镜像仓库的权限。

write

repo *

-

-

-

swr:allowpublicaccess

swr:repo:deleterepo

授予基础版仓库删除镜像仓库的权限。

write

repo *

-

-

swr:repo:listrepos

授予基础版仓库查询镜像仓库列表的权限。

list

repo *

-

-

swr:repo:listsharedrepos

授予基础版仓库查询共享镜像列表的权限。

list

repo *

-

-

swr:repo:getrepo

授予基础版仓库查询镜像仓库概要信息的权限。

read

repo *

-

-

swr:repo:updaterepo

授予基础版仓库更新镜像仓库的概要信息的权限。

write

repo *

-

-

-

swr:allowpublicaccess

swr:repo:deleterepotag

授予基础版仓库删除镜像仓库中指定版本的镜像的权限。

write

repo *

-

-

swr:repo:createrepotag

授予基础版仓库创建镜像版本的权限。

write

repo *

-

-

swr:repo:listrepotags

授予基础版仓库查询镜像版本列表的权限。

list

repo *

-

-

swr:repo:createrepodomain

授予基础版仓库创建共享账号的权限。

permission_management

repo *

-

-

-

swr:repo:deleterepodomain

授予基础版仓库删除共享账号的权限。

permission_management

repo *

-

-

swr:repo:listrepodomains

授予基础版仓库获取共享账号列表的权限。

list

repo *

-

-

swr:repo:getrepodomain

授予基础版仓库判断共享账号是否存在的权限。

read

repo *

-

-

swr:repo:updaterepodomain

授予基础版仓库更新共享账号的权限。

permission_management

repo *

-

-

swr:repo:createreposhare

授予基础版仓库创建镜像共享规则的权限。

permission_management

repo *

-

-

-

swr:repo:deletereposhare

授予基础版仓库删除镜像共享规则的权限。

permission_management

repo *

-

-

swr:repo:listreposhares

授予基础版仓库获取镜像共享规则列表的权限。

list

repo *

-

-

swr:repo:getreposhare

授予基础版仓库查看镜像共享规则的权限。

read

repo *

-

-

swr:repo:updatereposhare

授予基础版仓库更新镜像共享规则的权限。

permission_management

repo *

-

-

swr:repo:createautosyncrepojob

授予基础版仓库创建镜像自动同步任务的权限。

write

repo *

-

-

-

swr:targetregion

swr:repo:createmanualsyncrepojob

授予基础版仓库手动同步镜像的权限。

write

repo *

-

-

-

swr:targetregion

swr:repo:deleteautosyncrepojob

授予基础版仓库删除镜像自动同步任务的权限。

write

repo *

-

-

swr:repo:listautosyncrepojobs

授予基础版仓库获取镜像自动同步任务列表的权限。

list

repo *

-

-

swr:repo:getsyncrepojobinfo

授予基础版仓库获取镜像自动同步任务信息的权限。

read

repo *

-

-

swr:repo:createtrigger

授予基础版仓库创建触发器的权限。

write

repo *

-

-

swr:repo:deletetrigger

授予基础版仓库删除触发器的权限。

write

repo *

-

-

swr:repo:listtriggers

授予基础版仓库获取镜像仓库下的触发器列表的权限。

list

repo *

-

-

swr:repo:gettrigger

授予基础版仓库获取触发器详情的权限。

read

repo *

-

-

swr:repo:updatetrigger

授予基础版仓库更新触发器配置的权限。

write

repo *

-

-

swr:repo:createretention

授予基础版仓库创建镜像老化规则的权限。

write

repo *

-

-

swr:repo:deleteretention

授予基础版仓库删除镜像老化规则的权限。

write

repo *

-

-

swr:repo:listretentionhistories

授予基础版仓库获取镜像老化记录的权限。

list

repo *

-

-

swr:repo:listretentions

授予基础版仓库获取镜像老化规则列表的权限。

list

repo *

-

-

swr:repo:getretention

授予基础版仓库获取镜像老化规则记录的权限。

read

repo *

-

-

swr:repo:updateretention

授予基础版仓库修改镜像老化规则的权限。

write

repo *

-

-

swr::createloginsecret

授予基础版仓库生成临时登录指令的权限。

write

-

-

-

swr::createauthorizationtoken

授予基础版仓库生成新的临时登录指令的权限。

write

-

-

-

swr::listquotas

授予基础版仓库获取配额信息的权限。

list

-

-

-

swr::getdomainoverview

授予基础版仓库获取租户总览信息的权限。

read

-

-

-

swr::getdomainresourcereports

授予基础版仓库获取租户资源统计信息的权限。

read

-

-

-

swr:namespace:multipartupload

授予基础版仓库分段上传镜像的权限。

write

namespace *

-

-

swr:namespace:createnamespaceaccess

授予基础版仓库创建组织权限的权限。

permission_management

namespace *

-

-

swr:namespace:deletenamespaceaccess

授予基础版仓库删除组织权限的权限。

permission_management

namespace *

-

-

swr:namespace:getnamespaceaccess

授予基础版仓库查询组织权限的权限。

read

namespace *

-

-

swr:namespace:updatenamespaceaccess

授予基础版仓库更新组织权限的权限。

permission_management

namespace *

-

-

swr:repo:createrepoaccess

授予基础版仓库创建镜像权限的权限。

permission_management

repo *

-

-

swr:repo:deleterepoaccess

授予基础版仓库删除镜像权限的权限。

permission_management

repo *

-

-

swr:repo:getrepoaccess

授予基础版仓库查询镜像权限的权限。

read

repo *

-

-

swr:repo:updaterepoaccess

授予基础版仓库更新镜像权限的权限。

permission_management

repo *

-

-

swr:repo:upload

授予基础版仓库上传镜像的权限。

write

repo *

-

-

-

swr:allowcredentialtype

swr:repo:download

授予基础版仓库下载镜像的权限。

read

repo *

swr:repositoryispublic

-

-

swr:allowcredentialtype

swr:repo:getrepotag

授予基础版仓库查询镜像仓库中指定版本的镜像的权限。

read

repo *

-

-

swr的api通常对应着一个或多个授权项。表2展示了api与授权项的关系,以及该api需要依赖的授权项。

表2 api与授权项的关系

api

对应的授权项

依赖的授权项

post /v2/manage/namespaces

swr:namespace:createnamespace

-

delete /v2/manage/namespaces/{namespace}

swr:namespace:deletenamespace

-

get /v2/manage/namespaces

swr:namespace:listnamespaces

-

get /v2/manage/namespaces/{namespace}

swr:namespace:getnamespace

-

post /v2/manage/namespaces/{namespace}/repos

swr:repo:createrepo

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}

swr:repo:deleterepo

-

get /v2/manage/repos

swr:repo:listrepos

-

get /v2/manage/shared-repositories

swr:repo:listsharedrepos

-

get /v2/manage/namespaces/{namespace}/repos/{repository}

swr:repo:getrepo

-

patch /v2/manage/namespaces/{namespace}/repos/{repository}

swr:repo:updaterepo

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}/tags/{tag}

swr:repo:deleterepotag

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/tags

swr:repo:createrepotag

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/tags

swr:repo:listrepotags

-

post /v2/manage/namespaces/{namespace}/repositories/{repository}/access-domains

swr:repo:createrepodomain

-

delete /v2/manage/namespaces/{namespace}/repositories/{repository}/access-domains/{access_domain}

swr:repo:deleterepodomain

-

get /v2/manage/namespaces/{namespace}/repositories/{repository}/access-domains

swr:repo:listrepodomains

-

get /v2/manage/namespaces/{namespace}/repositories/{repository}/access-domains/{access_domain}

swr:repo:getrepodomain

-

patch /v2/manage/namespaces/{namespace}/repositories/{repository}/access-domains/{access_domain}

swr:repo:updaterepodomain

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/shares

swr:repo:createreposhare

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}/shares/{share_id}

swr:repo:deletereposhare

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/shares

swr:repo:listreposhares

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/shares/{share_id}

swr:repo:getreposhare

-

patch /v2/manage/namespaces/{namespace}/repos/{repository}/shares/{share_id}

swr:repo:updatereposhare

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/sync_repo

swr:repo:createautosyncrepojob

  • swr::createloginsecret
  • swr:repo:download
  • swr:repo:upload

post /v2/manage/namespaces/{namespace}/repos/{repository}/sync_images

swr:repo:createmanualsyncrepojob

  • swr::createloginsecret
  • swr:repo:download
  • swr:repo:upload

delete /v2/manage/namespaces/{namespace}/repos/{repository}/sync_repo

swr:repo:deleteautosyncrepojob

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/sync_repo

swr:repo:listautosyncrepojobs

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/sync_job

swr:repo:getsyncrepojobinfo

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/triggers

swr:repo:createtrigger

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}/triggers/{trigger}

swr:repo:deletetrigger

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/triggers

swr:repo:listtriggers

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/triggers/{trigger}

swr:repo:gettrigger

-

patch /v2/manage/namespaces/{namespace}/repos/{repository}/triggers/{trigger}

swr:repo:updatetrigger

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/retentions

swr:repo:createretention

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}/retentions/{retention_id}

swr:repo:deleteretention

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/retentions/histories

swr:repo:listretentionhistories

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/retentions

swr:repo:listretentions

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/retentions/{retention_id}

swr:repo:getretention

-

patch /v2/manage/namespaces/{namespace}/repos/{repository}/retentions/{retention_id}

swr:repo:updateretention

-

post /v2/manage/utils/secret

swr::createloginsecret

-

post /v2/manage/utils/authorizationtoken

swr::createauthorizationtoken

sts::createservicebearertoken

get /v2/manage/projects/{project_id}/quotas

swr::listquotas

-

get /v2/manage/overview

swr::getdomainoverview

-

get /v2/manage/reports/{resource_type}/{frequency}

swr::getdomainresourcereports

-

post /v2/manage/namespaces/{namespace}/access

swr:namespace:createnamespaceaccess

-

delete /v2/manage/namespaces/{namespace}/access

swr:namespace:deletenamespaceaccess

-

get /v2/manage/namespaces/{namespace}/access

swr:namespace:getnamespaceaccess

-

patch /v2/manage/namespaces/{namespace}/access

swr:namespace:updatenamespaceaccess

-

post /v2/manage/namespaces/{namespace}/repos/{repository}/access

swr:repo:createrepoaccess

-

delete /v2/manage/namespaces/{namespace}/repos/{repository}/access

swr:repo:deleterepoaccess

-

get /v2/manage/namespaces/{namespace}/repos/{repository}/access

swr:repo:getrepoaccess

-

patch /v2/manage/namespaces/{namespace}/repos/{repository}/access

swr:repo:updaterepoaccess

-

资源类型(resource)

资源类型(resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的身份策略语句中指定该资源的urn,身份策略仅作用于此资源;如未指定,resource默认为“*”,则身份策略将应用到所有资源。您也可以在身份策略中设置条件,从而指定资源类型。

swr定义了以下可以在自定义身份策略的resource元素中使用的资源类型。

表3 swr支持的资源类型

资源类型

urn

repo

swr:::repo:/

namespace

swr:::namespace:

条件(condition)

条件键概述

条件(condition)是身份策略生效的特定条件,包括条件键运算符

  • 条件键表示身份策略语句的condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如swr:)仅适用于对应服务的操作,详情请参见表4
    • 单值/多值表示api调用时请求中与条件关联的值数。单值条件键在api调用时的请求中最多包含一个值,多值条件键在api调用时请求可以包含多个值。例如:g:sourcevpce是单值条件键,表示仅允许通过某个vpc终端节点发起请求访问某资源,一个请求最多包含一个vpc终端节点id值。g:tagkeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用api请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符

swr支持的服务级条件键

swr定义了以下可以在自定义身份策略的condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。

表4 swr支持的服务级条件键

服务级条件键

类型

单值/多值

说明

swr:targetorgpath

string

单值

按照共享目标账号所处的组织路径进行权限控制。

swr:targetorgid

string

单值

按照共享目标账号所处的组织id进行权限控制。

swr:targetaccountid

string

单值

按照共享目标账号id进行权限控制。

swr:allowpublicaccess

boolean

单值

对镜像是否可以公开进行权限控制。

swr:targetregion

string

单值

根据目标区域进行权限控制。

swr:allowcredentialtype

string

单值

根据登录指令类型(长期登录指令,临时登录指令)进行权限控制。

swr:repositoryispublic

boolean

单值

根据镜像是否为公开镜像进行权限控制。

相关文档

网站地图