更新时间:2025-12-11 gmt 08:00

云运维中心 coc-j9九游会登录

云服务在iam预置了常用授权项,称为系统身份策略。如果iam系统身份策略无法满足授权要求,管理员可以根据各j9九游会登录的服务支持的授权项,创建iam自定义身份策略来进行精细的访问控制,iam自定义身份策略是对系统身份策略的扩展和补充。

除iam服务外,organizations服务中的服务控制策略(service control policy,以下简称scp)也可以使用这些授权项元素设置访问控制策略。

scp不直接进行授权,只划定权限边界。将scp绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。iam身份策略授予权限的有效性受scp限制,只有在scp允许范围内的权限才能生效。

iam服务与organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:iam服务与organizations服务权限访问控制的区别

本章节介绍iam服务身份策略授权场景中自定义身份策略和组织服务中scp使用的元素,这些元素包含了操作(action)、资源(resource)和条件(condition)

操作(action)

操作(action)即为身份策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的urn。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于coc定义的资源类型的详细信息请参见资源类型(resource)

  • “条件键”列包括了可以在身份策略语句的condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于coc定义的条件键的详细信息请参见条件(condition)

  • 别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的api访问。详细信息请参见身份策略兼容性说明

您可以在身份策略语句的action元素中指定以下coc的相关操作。

表1 coc支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

别名

coc:application:list

授予权限以查询应用列表

list

application *

-

-

coc:application:create

授予创建应用的权限

write

application *

-

-

coc:application:update

授予修改应用的权限

write

application *

-

-

coc:application:delete

授予删除应用的权限

write

application *

-

-

coc:application:creategroup

授予创建应用分组的权限

write

application *

-

-

coc:application:listgroups

授予查询指定应用分组列表的权限

list

application *

-

-

coc:application:updategroup

授予修改应用分组的权限

write

application *

-

-

coc:application:deletegroup

授予删除应用分组的权限

write

application *

-

-

coc:application:syncgroupresource

授予同步应用分组资源的权限

write

application *

-

-

coc:application:updateresources

授予修改应用资源的权限

write

application *

-

-

coc:application:addresources

授予为应用添加资源的权限

write

application *

-

-

coc:application:removeresources

授予移除应用资源的权限

write

application *

-

-

coc:application:listresources

授予查询应用资源列表的权限

list

application *

-

-

-

coc:applicationgroupcode

coc:application:countresourcerelations

授予查询资源关系数量的权限

list

application *

-

-

coc:application:getcapacity

授予查询应用中的资源容量的权限

list

application *

-

-

coc:application:getsortedcapacity

授予查询应用中有序的资源容量的权限

list

application *

-

-

coc:application:listmodel

授予查询应用模型的权限

list

application *

-

-

coc:vendoraccount:create

授予新增云厂商账户的权限

write

-

-

-

coc:vendoraccount:list

授予查询云厂商账户的权限

list

-

-

-

coc:vendoraccount:update

授予修改云厂商账户的权限

write

-

-

-

coc:vendoraccount:delete

授予删除云厂商账户的权限

write

-

-

-

coc:resourceview:list

授予查询资源视图的权限

list

-

-

-

coc:resourceview:create

授予创建资源视图的权限

write

resourceview *

-

-

coc:resourceview:update

授予更新资源视图的权限

write

resourceview *

-

-

coc:resourceview:delete

授予删除资源视图的权限

write

resourceview *

-

-

coc:resourceview:syncresources

授予同步某个具体资源视图下的资源列表的权限

write

resourceview *

-

-

coc:resourceview:listresources

授予查询某个具体资源视图下的资源列表的权限

list

resourceview *

-

-

coc:resourceview:countresources

授予查询某个具体资源视图中资源数量的权限

list

-

-

-

coc:instance:listresources

授予查询资源列表的权限

list

-

-

-

coc:instance:syncresources

授予同步资源列表的权限

write

-

-

-

coc:instance:countotherresources

授予查询离线资源(如物理机、中间件等)总数的权限

list

-

-

-

coc:instance:listtagsforresource

授予查询资源标签的权限

list

-

-

coc:instance:listresourcetags

coc:instance:addresourcetotags

授予添加资源标签的权限

write

-

-

coc:instance:createresourcetags

coc:instance:countresources

授予查询资源总数的权限

list

-

-

-

coc::listepscollection

授予查询企业项目收藏的权限

list

-

-

coc:enterpriseproject:listcollect

coc::updateepscollection

授予修改企业项目收藏的权限

write

-

-

coc:enterpriseproject:updatecollect

coc::getlastsyncstatus

授予查询实例最新同步状态的权限

read

-

-

coc:system:getlastsyncstatus

coc::getresourcesyncjobdetail

授予查询资源同步任务详情的权限

read

-

-

coc:system:getresourcesyncjobdetail

coc:schedule:create

授予创建定时任务的权限。

write

schedule

g:enterpriseprojectid

-

instance

document

-

coc:schedule:list

授予查询定时任务列表的权限。

list

-

g:enterpriseprojectid

-

coc:schedule:update

授予更新定时任务的权限。

write

schedule *

g:enterpriseprojectid

-

instance

document

coc:schedule:get

授予查询定时任务详情的权限。

read

schedule *

-

-

-

g:enterpriseprojectid

coc:schedule:delete

授予删除定时任务的权限。

write

schedule *

g:enterpriseprojectid

-

coc:schedule:enable

授予启用定时任务的权限。

write

schedule *

g:enterpriseprojectid

-

-

coc:schedule:disable

授予禁用定时任务的权限。

write

schedule*

g:enterpriseprojectid

-

coc:schedule:gethistories

授予查询定时任务执行历史的权限。

read

schedule*

g:enterpriseprojectid

-

coc:instance:executedocument

授予在弹性云服务器上执行文档的权限

write

instance *

-

document *

coc:alarm:clear

授予清除告警的权限

write

-

-

-

coc:alarm:createalarmlinkedincident

授予创建告警关联事件的权限

write

-

-

-

coc:alarm:listhandlehistories

授予查询告警处理历史列表的权限

list

-

-

-

coc:alarm:get

授予查询告警信息的权限

read

-

-

-

coc:ticket:list

授予查询事件单列表的权限

list

-

-

-

coc:ticket:create

授予创建事件单的权限

write

-

-

-

coc:ticket:get

授予查询事件单详情的权限

read

-

-

-

coc:ticket:action

授予处理事件单的权限

write

-

-

-

coc:ticket:delete

授予删除事件单的权限

write

-

-

-

coc:ticket:uploadfile

授予为事件单上传附件的权限

write

-

-

-

coc:ticket:downloadfile

授予为事件单下载附件的权限

read

-

-

-

coc:ticket:listauthorizable

授予查询可授权单的权限

list

-

-

-

coc:warroom:create

授予创建warroom的权限

write

-

-

-

coc:ticket:update

授予修改事件单的权限

write

-

-

-

coc:ticket:getoperationhistories

授予查询事件单操作历史的权限

list

-

-

-

coc:ticket:listactions

授予查询可以执行操作列表的权限

list

-

-

-

coc:warroom:list

授予查询warroom列表的权限

list

-

-

-

coc:document:analyzerisk

授予分析文档风险的权限。

read

-

-

-

coc:document:get

授予查看文档内容的权限。

read

-

-

-

coc:document:getdocument

授予查询文档详情权限。

read

document *

-

-

coc:document:create

授予创建文档的权限。

write

document *

-

-

coc:document:createdocument

授予创建文档权限。

write

document *

-

-

coc:document:delete

授予删除文档的权限。

write

document *

-

-

coc:document:deletedocument

授予删除文档权限。

write

document *

-

-

coc:document:execute

授予执行文档权限。

write

document *

-

-

coc:document:update

授予修改文档的权限。

write

document *

-

-

coc:document:updatedocument

授予更新文档权限。

write

document *

-

-

coc:document:list

授予查询文档列表的权限。

list

document *

-

-

coc:document:listdocument

授予查询文档列表权限。

list

-

-

-

coc:quota:get

授予查询配额的权限。

read

-

-

-

coc:job:get

授予查询工单详情的权限。

read

job *

-

-

-

coc:jobtype

coc:job:action

授予操作工单的权限。

write

job *

-

-

-

coc:jobtype

coc:job:list

授予查询工单列表的权限。

list

-

job *

-

-

-

coc:jobtype

coc:instance:autobatchinstances

授予为实例自动化分批的权限。

write

-

-

-

coc:documentatomic:list

授予查询文档原子能力列表权限。

list

-

-

-

coc:documentatomic:get

授予查询文档原子能力详情权限。

read

-

-

-

coc:execution:get

授予查询执行工单详情权限。

read

-

-

-

coc:execution:listexecutionstep

授予查询执行工单步骤列表权限。

read

-

-

-

coc:execution:list

授予查询执行工单列表权限。

list

-

-

-

coc:execution:listexecutionstepinstance

授予查询执行工单步骤列表权限。

read

-

-

-

coc:execution:operate

授予操作执行工单。

write

-

-

-

coc:compliancereport:list

授予查询合规性报告列表权限。

list

-

-

-

coc:compliancereport:get

授予查询合规性报告详情的权限。

read

-

-

-

coc:task:list

授予查询运维事务列表的权限。

list

-

-

-

coc:task:count

授予查询运维事务数量的权限。

read

-

-

-

coc:task:create

授予创建运维事务的权限。

write

-

-

-

coc:task:get

授予查询运维事务详情的权限。

read

-

-

-

coc:task:accept

授予受理运维事务的权限。

write

-

-

-

coc:task:complete

授予结束运维事务的权限。

write

-

-

-

coc:task:cancel

授予取消运维事务的权限。

write

-

-

-

coc:tag:create

授予创建标签的权限。

tagging

-

-

-

coc:tag:list

授予查询标签列表的权限。

list

-

-

-

coc:instance:reinstallos

授予重装弹性云服务器操作系统的权限。

write

instance

-

-

coc:instance:changeos

授予切换弹性云服务器操作系统的权限。

write

instance

-

-

coc:instance:scanoscompliance

授予服务器操作系统补丁扫描的权限。

read

instance *

-

coc:instance:installpatches

授予为弹性云服务器安装补丁的权限。

write

instance *

-

coc::listsshkeypairs

授予查询ssh秘钥列表的权限。

list

-

-

coc:system:listsshkeypair

coc:personnel:list

授予查询人员列表的权限。

list

-

-

-

coc:personnel:add

授予添加人员的权限。

write

-

-

-

coc:personnel:update

授予更新人员信息的权限。

write

-

-

-

coc:personnel:remove

授予移除人员的权限。

write

-

-

-

coc:patchbaseline:create

授予创建补丁基线的权限。

write

-

-

-

coc:patchbaseline:list

授予查询补丁基线列表的权限。

list

-

-

-

coc:patchbaseline:get

授予查询补丁基线详情的权限。

read

-

-

-

coc:patchbaseline:opssystemget

授予获取操作系统基线。

read

-

-

-

coc:patchbaseline:updatecustombaseline

授予更新自定义基线补丁。

write

-

-

-

coc:patchbaseline:delete

授予删除补丁基线的权限。

write

-

-

-

coc:patchbaseline:update

授予更新补丁基线的权限。

write

-

-

-

coc:patchbaseline:registerdefault

授予设置默认补丁基线的权限。

write

-

-

-

coc:patchbaseline:getdefault

授予查询默认补丁基线的权限。

read

-

-

-

coc:document:listrunbookatomics

授予查询自定义作业原子能力列表的权限。

list

-

-

-

coc:document:getrunbookatomicdetails

授予查询自定义作业原子能力详情的权限。

read

-

-

-

coc:bistatistic:list

授予查询bi指标结果的权限。

read

-

-

-

coc:integration:list

授予查询集成配置列表的权限。

list

-

-

-

coc:integration:get

授予查询集成配置详情的权限。

read

-

-

-

coc:integration:update

授予修改集成配置的权限。

write

-

-

-

coc:integration:access

授予接入集成配置的权限。

write

-

-

-

coc:integration:enable

授予启用集成配置的权限。

write

-

-

-

coc:integration:disable

授予停用集成配置的权限。

write

-

-

-

coc:integration:remove

授予移除集成配置的权限。

write

-

-

-

coc:integration:gethistory

授予查询集成配置历史事件消息的权限。

read

-

-

-

coc:ticket:getenumtypes

授予查询事件单枚举类型详情的权限。

read

-

-

-

coc:ticket:listenumtypes

授予查询事件单枚举类型列表的权限。

list

-

-

-

coc:ticket:listenumvalues

授予查询事件单枚举值列表的权限。

list

-

-

-

coc:ticket:getenumvalues

授予查询事件单枚举值详情的权限。

read

-

-

-

coc:oncall:listscenes

授予查看oncall排班场景的权限。

list

-

-

-

coc:oncall:createscene

授予创建oncall排班场景的权限。

write

-

-

-

coc:oncall:updatescene

授予更新oncall排班场景的权限。

write

-

-

-

coc:oncall:deletescene

授予删除oncall排班场景的权限。

write

-

-

-

coc:oncall:listroles

授予查询oncall排班角色的权限。

list

-

-

-

coc:oncall:createrole

授予创建oncall排班角色的权限。

write

-

-

-

coc:oncall:updaterole

授予更新oncall排班角色的权限。

write

-

-

-

coc:oncall:deleterole

授予删除oncall排班角色的权限。

write

-

-

-

coc:oncall:listpersonnels

授予查询oncall排班人员列表的权限。

list

-

-

-

coc:oncall:updatepersonnels

授予更新oncall排班人员的权限。

write

-

-

-

coc:oncall:addpersonnels

授予添加oncall排班人员的权限。

write

-

-

-

coc:oncall:removepersonnels

授予移除oncall排班人员的权限。

write

-

-

-

coc:region:list

授予查询region列表的权限。

list

-

-

-

coc:site:list

授予查询局点列表的权限。

list

-

-

-

coc:customapplication:list

授予查询自定义应用列表的权限。

list

-

-

-

coc:customapplication:get

授予查询自定义应用详情的权限。

read

-

-

-

coc:notificationrule:list

授予查询通知规则列表的权限。

list

-

-

-

coc:notificationrule:get

授予查询通知规则详情的权限。

read

-

-

-

coc:notificationrule:create

授予创建通知规则的权限。

write

-

-

-

coc:notificationrule:update

授予更新通知规则的权限。

write

-

-

-

coc:notificationrule:delete

授予删除通知规则的权限。

write

-

-

-

coc:notificationrule:enable

授予启用通知规则的权限。

write

-

-

-

coc:notificationrule:disable

授予停用通知规则的权限。

write

-

-

-

coc:notificationrule:confirm

授予确认通知规则的权限。

write

-

-

-

coc:notification:listtypes

授予查询通知类型的权限。

list

-

-

-

coc:notification:listmodes

授予查询通知方式的权限。

list

-

-

-

coc:notification:listtemplates

授予查询通知模板列表的权限。

list

-

-

-

coc:transferrule:list

授予查询转换规则列表的权限。

list

-

-

-

coc:transferrule:create

授予创建转换规则的权限。

write

-

-

-

coc:transferrule:get

授予查询转换规则详情的权限。

read

-

-

-

coc:transferrule:update

授予更新转换规则的权限。

write

-

-

-

coc:transferrule:delete

授予删除转换规则的权限。

write

-

-

-

coc:transferrule:enable

授予启用转换规则的权限。

write

-

-

-

coc:transferrule:gethistory

授予查询流转最近事件消息的权限。

read

-

-

-

coc:transferrule:disable

授予停用转换规则的权限。

write

-

-

-

coc:warroommeetingrule:create

授予创建warroom起会规则的权限。

write

-

-

-

coc:warroommeetingrule:update

授予更新warroom起会规则的权限。

write

-

-

-

coc:warroommeetingrule:delete

授予删除warroom起会规则的权限。

write

-

-

-

coc:warroommeetingrule:list

授予查询warroom起会规则列表的权限。

list

-

-

-

coc:warroommeetingrule:get

授予查询warroom起会规则的权限。

read

-

-

-

coc:warroom:delete

授予删除warroom的权限。

write

-

-

-

coc:warroom:getoperationhistory

授予查询warroom操作历史的权限。

read

-

-

-

coc:warroom:addaffectedapplications

授予在warroom中添加受影响应用的权限。

write

-

-

-

coc:warroom:updateaffectedapplications

授予在warroom中更新受影响应用的权限。

write

-

-

-

coc:warroom:removeaffectedapplications

授予在warroom中移除受影响应用的权限。

write

-

-

-

coc:warroom:listaffectedapplications

授予查询warroom受影响应用列表的权限。

list

-

-

-

coc:warroom:listconfigurations

授予查询warroom公共枚举配置的权限。

list

-

-

-

coc:warroom:get

授予查询warroom详情的权限。

read

-

-

-

coc:warroom:modifybasicinformation

授予修改warroom基本信息的权限。

write

-

-

-

coc:warroom:sendnotification

授予在warroom中更新/发送通告的权限。

write

-

-

-

coc:warroom:sendnotificationbriefing

授予在warroom中发送通知简报的权限。

write

-

-

-

coc:warroom:addpersonnels

授予在warroom中添加人员的权限。

write

-

-

-

coc:warroom:removepersonnels

授予在warroom中移除人员的权限。

write

-

-

-

coc:warroom:listroles

授予查询warroom角色列表的权限。

list

-

-

-

coc:warroom:addrolepersonnels

授予在warroom中添加角色用户的权限。

write

-

-

-

coc:warroom:listnotificationtemplates

授予查询warroom通告模板列表的权限。

list

-

-

-

coc:warroom:listmeetings

授予查询warroom会议列表的权限。

list

-

-

-

coc:schedule:count

授予查询定时任务数量的权限。

read

schedule *

-

-

coc:schedule:approve

授予审批定时任务的权限。

write

schedule *

g:enterpriseprojectid

-

coc:instance:stop

授予关闭云服务器的权限。

write

instance

-

-

coc:instance:start

授予启动云服务器的权限。

write

instance

-

-

coc:instance:reboot

授予重启云服务器的权限。

write

instance

-

-

coc:appkey:create

授予创建移动应用密钥的权限。

write

-

-

-

coc:appkey:delete

授予删除移动应用密钥的权限。

write

-

-

-

coc:appkey:get

授予查看移动应用密钥的权限。

read

-

-

-

coc:appkey:update

授予更新移动应用密钥的权限。

write

-

-

-

coc:faultmode:create

授予创建故障模式的权限。

write

faultmode *

-

-

coc:faultmode:update

授予更新故障模式的权限。

write

faultmode *

-

coc:faultmode:get

授予查询指定故障模式详情的权限。

read

faultmode *

-

coc:faultmode:delete

授予删除故障模式的权限。

write

faultmode *

-

coc:faultmode:list

授予查询故障模式列表的权限。

list

faultmode *

-

-

coc:application:createresourcetopo

授予创建应用资源拓扑的权限。

write

application *

-

-

coc:application:getresourcetopo

授予查看应用资源拓扑的权限。

read

application *

-

-

coc:application:creatediagnosistask

授予创建应用资源诊断的权限。

write

application *

-

-

coc:application:getdiagnosistaskdetails

授予查询应用资源诊断任务的权限。

read

application *

-

-

coc:contingencyplan:create

授予创建应急预案的权限。

write

contingencyplan *

-

-

coc:contingencyplan:get

授予查询应急预案详情的权限。

read

contingencyplan *

-

coc:contingencyplan:update

授予修改应急预案的权限。

write

contingencyplan *

-

coc:contingencyplan:delete

授予删除应急预案的权限。

write

contingencyplan *

-

coc:contingencyplan:list

授予查询应急预案列表的权限。

list

contingencyplan *

-

-

coc:contingencyplan:uploadfile

授予为应急预案上传附件的权限。

write

-

-

-

coc:contingencyplan:downloadfile

授予从应急预案下载附件的权限。

read

contingencyplan *

-

coc:attacktask:create

授予创建攻击任务的权限。

write

attacktask *

-

coc:attacktask:get

授予查看攻击任务详情的权限。

read

attacktask *

-

coc:attacktask:list

授予查看攻击任务列表的权限。

list

attacktask *

-

-

coc:attacktask:deleterelatedrecords

授予删除攻击任务相关记录的权限。

write

attacktask *

-

-

coc:attackrecord:list

授予查看攻击记录列表的权限。

list

attackrecord *

-

-

coc:attacktargetrecord:list

授予查看攻击目标的执行记录列表的权限。

list

attacktargetrecord *

-

-

coc:attacktargetrecord:operate

授予对攻击目标执行记录进行重试的权限。

write

attacktargetrecord *

coc:creator

-

coc:drilltask:create

授予创建演练任务的权限。

write

drilltask *

coc:applicationcode

-

coc:drilltask:update

授予修改演练任务的权限。

write

drilltask *

-

coc:drilltask:list

授予查看演练任务列表的权限。

list

drilltask *

-

-

coc:drilltask:get

授予查询演练任务详情的权限。

read

drilltask *

coc:creator

-

coc:drilltask:delete

授予删除演练任务的权限。

write

drilltask *

coc:creator

-

coc:drilltask:deleterelatedrecords

授予删除演练任务相关记录的权限。

write

drilltask *

-

-

coc:drillrecord:create

授予启动演练的权限。

write

drillrecord *

coc:creator

-

-

coc:drillrecord:get

授予查询演练记录详情的权限。

read

drillrecord *

coc:creator

-

coc:drillreport:create

授予创建演练报告的权限。

write

-

-

-

coc:drillreport:update

授予更新演练报告的权限。

write

-

-

-

coc:drillreport:get

授予查询演练报告详情的权限。

read

-

-

-

coc:improvementtask:create

授予创建改进事项的权限。

write

-

-

-

coc:improvementtask:update

授予处理改进事项的权限。

write

-

-

-

coc:improvementtask:list

授予查询改进事项列表的权限。

list

-

-

-

coc:improvementtask:get

授予查询改进事项详情的权限。

read

-

-

-

coc:drillplan:create

授予创建演练规划的权限。

write

-

-

-

coc:drillplan:update

授予更新演练规划的权限。

write

drillplan *

-

coc:drillplan:get

授予查询指定演练规划详情的权限。

read

drillplan *

-

coc:drillplan:list

授予查询演练规划列表的权限。

list

-

-

-

coc:drillplan:listdelay

授予查询演练规划延期列表的权限。

list

-

-

-

coc:drillplan:countstatus

授予查询指定演练规划状态数量的权限。

read

-

-

-

coc:drillplan:countdelay

授予查询指定演练规划延期数量的权限。

read

-

-

-

coc:attacktarget:listccenamespaces

授予查询cce类型的攻击目标的命名空间列表的权限。

list

-

-

-

coc:attacktarget:listcceworkloads

授予查询cce类型的攻击目标的工作负载列表的权限。

list

-

-

-

coc:attacktarget:listccepods

授予查询cce类型的攻击目标的pods列表的权限。

list

-

-

-

coc:monitormetric:list

授予查询监控指标列表的权限。

list

-

-

-

coc:monitormetricrecord:list

授予查询监控指标数据列表的权限。

list

-

-

-

coc:attackrecord:changemetrictype

授予修改某个攻击记录下指标类型的权限。

write

attackrecord *

-

-

coc:prrtemplate:create

授予创建prr模板的权限。

write

-

-

-

coc:prrtemplate:update

授予修改prr模板的权限。

write

-

-

-

coc:prrtemplate:list

授予查看prr模板列表的权限。

list

-

-

-

coc:prrtemplate:get

授予查询prr模板详情的权限。

read

-

-

-

coc:prrtemplate:delete

授予删除prr模板的权限。

write

-

-

-

coc::listprrcheckitem

授予查看prr检查项列表的权限。

list

-

-

coc:prrcheckitem:list

coc:prrreview:create

授予发起prr评审的权限。

write

-

-

-

coc:prrreview:update

授予继续发起prr评审的权限。

write

-

-

-

coc:prrreview:list

授予查看prr评审列表的权限。

list

-

-

-

coc:prrreview:get

授予查询prr评审详情的权限。

read

-

-

-

coc:prrreview:recordsummary

授予录入prr评审纪要的权限。

write

-

-

-

coc:prrreview:auditresult

授予录入prr审核结论的权限。

write

-

-

-

coc:prrreview:delete

授予撤销prr评审的权限。

write

-

-

-

coc:prrreview:addimprovementtask

授予添加prr改进事项的权限。

write

-

-

-

coc:instance:listalarms

授予查询全部资源的告警列表的权限。

list

-

-

-

coc:instance:getalarms

授予查看某个资源的告警列表的权限。

read

-

-

-

coc:alarm:list

授予查询告警列表的权限。

list

-

-

-

coc:alarm:count

授予查询告警数量的权限。

read

-

-

-

coc:slatemplate:list

授予查询sla模板列表的权限。

list

slatemplate *

-

-

coc:slatemplate:get

授予查询sla模板详情的权限。

read

slatemplate *

-

-

coc:slatemplate:create

授予创建sla模板的权限。

write

slatemplate *

-

-

coc:slatemplate:delete

授予删除sla模板的权限。

write

slatemplate *

-

-

coc:slatemplate:enable

授予启用sla模板的权限。

write

slatemplate *

-

-

coc:slatemplate:disable

授予禁用sla模板的权限。

write

slatemplate *

-

-

coc:slatemplate:update

授予修改sla模板的权限。

write

slatemplate *

-

-

coc:slarecord:list

授予查询sla工单列表的权限。

list

-

-

-

coc:slarecord:get

授予查询sla工单详情的权限。

read

-

-

-

coc:customdashboard:get

授予查询自定义看板的权限。

read

-

-

-

coc:customdashboard:update

授予修改自定义看板的权限。

write

-

-

-

coc:agency:get

授予查询租户下的委托信息。

read

-

-

-

coc:agency:create

授予创建租户委托的权限。

write

-

-

-

coc:parameter:create

授予创建参数的权限。

write

parameter *

coc:creator

-

coc:parameter:update

授予更新参数的权限。

write

parameter *

coc:creator

-

coc:parameter:get

授予查询参数详情的权限。

read

parameter *

coc:creator

-

coc:parameter:delete

授予删除参数的权限。

write

parameter *

coc:creator

-

coc:parameter:list

授予查询参数列表的权限。

list

parameter *

coc:creator

-

coc:accountbaseline:create

授予创建账号基线的权限。

write

accountbaseline *

-

coc:accountbaseline:list

授予查询账号基线列表的权限。

list

accountbaseline *

-

-

coc:accountbaseline:listaccountlist

授予查询基线内的账号列表的权限。

list

accountbaseline *

-

-

coc:accountbaseline:deleteaccount

授予删除基线中的账号的权限。

write

accountbaseline *

-

-

coc:accountbaseline:update

授予修改账号基线的权限。

write

accountbaseline *

-

coc:accountbaseline:delete

授予删除账号基线的权限。

write

accountbaseline *

-

-

coc:instance:getaccount

授予查询主机上已纳管的账号列表的权限。

list

instance

-

-

coc:instance:syncaccount

授予同步主机上的账号的权限。

write

instance *

g:enterpriseprojectid

-

coc:instance:resetpassword

授予重置主机账号密码的权限。

write

instance

g:enterpriseprojectid

-

coc:instance:resetaccountpassword

授予重置主机账号密码的权限。

write

instance

g:enterpriseprojectid

-

coc:instance:createpasswordchangeplan

授予创建改密计划的权限。

write

instance

g:enterpriseprojectid

-

coc:instance:updateaccountpassword

授予回写改密结果的权限。

write

instance

g:enterpriseprojectid

-

coc:instance:addaccount

授予导入主机上的账号的权限。

write

instance

g:enterpriseprojectid

-

coc:instance:getaccountpassword

授予查询主机的账号密码的权限。

read

instance

g:enterpriseprojectid

-

-

coc:instance:gethistoricalpassword

授予查询主机账号历史密码的权限。

read

instance

g:enterpriseprojectid

-

-

coc:instance:getpasswordchangerecords

授予查询主机账号改密记录的权限。

read

instance

g:enterpriseprojectid

-

coc::getaccountmanagedstatus

授予查询纳管步骤状态的权限。

read

-

-

coc:account:getmanagedstatus

coc::addautomanagementrelations

授予按组件粒度开启自动纳管的权限。

write

-

-

coc:accountautomanagement:addrelations

coc::getautomanagementrelations

授予查询已开启自动纳管的组件信息的权限。

list

-

-

coc:accountautomanagement:getrelations

coc::deleteautomanagementrelations

授予按组件粒度关闭自动纳管的权限。

write

-

-

coc:accountautomanagement:deleterelations

coc::getautomanagementstatus

授予查询自动纳管的开启状态的权限。

read

-

-

coc:accountautomanagement:getstatus

coc::updateautomanagementstatus

授予更新自动纳管的状态的权限。

write

-

-

coc:accountautomanagement:updatestatus

coc::addencryptionkey

授予添加加密密钥的权限。

write

-

-

coc:accountencryptionkey:add

coc::listdewkeys

授予查询已拥有的dew密钥的权限。

list

-

-

coc:accountencryptionkey:listdewkeys

coc::listencryptionkey

授予查询已添加的dew密钥的权限。

list

-

-

coc:accountencryptionkey:list

coc::enablepasswordchangepolicy

授予启用改密策略的权限。

write

-

coc:accountpasswordchangepolicy:enable

coc::getpasswordchangepolicy

授予查询已开启的改密策略的权限。

list

-

-

coc:accountpasswordchangepolicy:get

coc:incident:create

授予coc创建事件单权限。

write

-

-

-

coc:incident:handle

授予coc处理事件单权限。

write

-

-

-

coc:incident:detail

授予coc获取事件单详细权限。

read

-

-

-

coc:session:start

授予免密登录ecs实例的权限。

write

instance

g:enterpriseprojectid

-

-

coc::disablepasswordchangepolicy

授予禁用改密策略的权限。

write

-

-

coc:accountpasswordchangepolicy:disable

coc::createorders

授予创建coc订单的权限。

write

-

-

coc:orders:create

coc::changeorders

授予更新coc订单的权限。

write

-

-

coc:orders:change

coc::listquotas

授予查询已购买配额列表的权限。

list

-

-

coc:quotas:list

coc:alarm:put

授予上报coc告警的权限。

write

-

-

-

coc:application:addcomponentinvokingrelationships

授予创建组件关系的权限。

write

application *

-

-

coc:application:removecomponentinvokingrelationships

授予删除组件连线的权限。

write

application *

-

-

coc:application:listcomponentinvokingrelationships

授予查看组件连线的权限。

read

application *

-

-

coc:instance:updateresources

授予更新资源信息的权限。

write

-

-

-

coc:instance:restartrdsinstance

授予重启rds实例的权限。

write

instance

g:enterpriseprojectid

-

-

coc:instance:startrdsinstance

授予启用rds实例的权限。

write

instance

g:enterpriseprojectid

-

-

coc:instance:stoprdsinstance

授予停止rds实例的权限。

write

instance

g:enterpriseprojectid

-

-

coc:systemconfig:create

授予新建系统配置的权限。

write

-

-

-

coc:systemconfig:list

授予查询系统配置列表的权限。

list

-

-

-

coc:systemconfig:update

授予更新系统配置的权限。

write

-

-

-

coc:systemconfig:get

授予展示系统配置的权限。

read

-

-

-

coc:hostaccount:add

授予添加托管账号。

write

-

-

-

coc:hostaccount:list

授予托管sre账号查询托管账号。

list

-

-

-

coc:hostaccount:update

授予托管sre账号编辑托管账号。

write

-

-

-

coc:hostaccount:delete

授予托管sre账号刪除托管账号。

write

-

-

-

coc:hostaccount:describe

授予账号自己的托管服务账号的信息。

read

-

-

-

coc:hostaccount:enable

授予账号开通托管服务。

write

-

-

-

coc:hostaccount:disable

授予账号取消托管服务。

write

-

-

-

coc:slo:list

授予查询slo列表的权限。

list

-

-

-

coc:slo:createslotarget

授予创建slo目标的权限。

write

-

-

-

coc:slo:deleteslotarget

授予删除slo目标的权限。

write

-

-

-

coc:slo:updateslotarget

授予更新slo目标的权限。

write

-

-

-

coc:slo:getslodetail

授予查询slo目标的权限。

read

-

-

-

coc:slo:listsli

授予查询sli列表的权限。

list

-

-

-

coc:slo:configuresli

授予更新sli列表的权限。

write

-

-

-

coc:slo:createinterruptrecords

授予创建slo中断记录的权限。

write

-

-

-

coc:slo:listinterruptrecords

授予查询slo中断记录的权限。

list

-

-

-

coc:slo:updateinterruptrecords

授予更新slo中断记录的权限。

write

-

-

-

coc:slo:listinterruptrecordschangehistory

授予查询slo中断记录的修改历史列表的权限。

list

-

-

-

coc:crossaccounts:authorize

授予授权跨账号管理的权限。

write

-

-

-

coc:crossaccounts:listcrossaccounts

授予查询跨账号管理的自己账号的信息的权限。

list

-

-

-

coc:alarmrule:list

授予查询告警规则的权限。

list

-

-

-

coc:alarmrule:sync

授予同步告警规则的权限。

write

-

-

-

coc:alarmrule:put

授予启停告警规则的权限。

write

-

-

-

coc:alarmrule:delete

授予删除告警规则的权限。

write

-

-

-

coc:ticket:updateenumvalues

授予更新单子枚举值的权限。

write

-

-

-

coc:ticket:createenumvalues

授予创建单子枚举值的权限。

write

-

-

-

coc:ticket:deleteenumvalues

授予删除单子枚举值的权限。

write

-

-

-

coc:integration:create

授予创建集成配置的权限。

write

-

-

-

coc:integration:downloadzabbixtemplate

授予下载告警源zabbix模板的权限。

read

-

-

-

coc:quicksetupconfigurations:create

授予权限实现全局云服务配置场景快速配置。

write

-

coc:quicksetuptype

-

coc::updateserviceconfigtask

授予云服务配置任务修改权限。

write

-

-

coc:serviceconfigtask:update

coc::listserviceconfigtask

授予云服务配置任务查询权限。

list

-

-

coc:serviceconfigtask:list

coc:instance:deleteresourcetags

授予删除资源标签的权限。

write

-

-

-

coc::getbisubscription

授予权限查询bi订阅记录数据。

read

-

-

coc:bisubscription:get

coc::listbisubscription

授予权限查询bi订阅记录列表数据。

list

-

-

coc:bisubscription:list

coc::listbisubscriptionhistory

授予权限查询bi订阅历史记录列表数据。

list

-

-

coc:bisubscriptionhistory:list

coc::createbisubscription

授予创建bi订阅记录数据。

write

-

-

coc:bisubscription:create

coc::deletebisubscription

授予权限删除bi订阅记录数据。

write

-

-

coc:bisubscription:delete

coc::updatebisubscription

授予权限更新bi订阅记录数据。

write

-

-

coc:bisubscription:update

coc:assesstask:list

授予查询评估任务列表的权限。

list

-

-

-

coc:assesstask:create

授予创建评估任务的权限。

write

-

coc:applicationcode

-

coc:assesstask:delete

授予删除评估任务的权限。

write

-

-

-

coc:assesstask:countbystatus

授予根据状态查询评估任务数量的权限。

read

-

-

-

coc:assesstask:countreports

授予查看评估任务的评估报告数量的权限。

read

-

-

-

coc:assesstask:countdistributions

授予查看评估任务分布信息的权限。

read

-

-

-

coc:assessreport:delete

授予删除评估报告的权限。

write

-

-

-

coc:assessreport:create

授予创建评估报告的权限。

write

-

-

-

coc:assessreport:get

授予查询评估报告详情的权限。

read

-

-

-

coc:assessreport:updateitemstatus

授予修改评估报告评估项状态的权限。

write

-

-

-

coc:assessreport:list

授予查询评估报告列表的权限。

list

-

-

-

coc:product:list

授予最终用户查询产品列表权限。

list

-

-

-

coc:product:get

授予最终用户查询产品详情权限。

read

product *

-

-

coc:product:search

授予管理员查询产品列表权限。

list

-

-

-

coc:product:show

授予管理员查询产品详情权限。

read

product *

-

-

coc:product:create

授予创建产品权限。

write

product *

-

-

coc:product:update

授予更新产品权限。

write

product *

-

-

coc:product:delete

授予删除产品权限。

write

product *

-

-

coc:product:listversions

授予查询产品版本列表权限。

list

-

-

-

coc:product:getversion

授予查询产品版本详情权限。

read

product *

-

-

coc:product:createversion

授予创建产品版本权限。

write

product *

-

-

coc:product:updateversion

授予更新产品版本权限。

write

product *

-

-

coc:product:deleteversion

授予删除产品版本权限。

write

product *

-

-

coc:portfolio:search

授予查询产品组合列表权限。

list

-

-

-

coc:portfolio:show

授予查询产品组合详情权限。

read

portfolio *

-

-

coc:portfolio:create

授予创建产品组合权限。

write

portfolio *

-

-

coc:portfolio:update

授予更新产品组合权限。

write

portfolio *

-

-

coc:portfolio:delete

授予删除产品组合权限。

write

portfolio *

-

-

coc:portfolio:searchproductsforportfolio

授予查询产品组合与产品的关系列表权限。

list

-

-

-

coc:portfolio:associateproduct

授予创建产品组合与产品的关系权限。

write

portfolio *

-

-

coc:portfolio:disassociateproduct

授予删除产品组合与产品的关系权限。

write

portfolio *

-

-

coc:portfolio:searchprincipals

授予查询产品组合授权列表权限。

list

-

-

-

coc:portfolio:associateprincipal

授予新增产品组合授权权限。

write

portfolio *

-

-

coc:portfolio:disassociateprincipal

授予删除产品组合授权权限。

write

portfolio *

-

-

coc:provisionedproduct:list

授予查询产品实例列表权限。

list

-

-

-

coc:provisionedproduct:get

授予查询产品实例详情权限。

read

provisionedproduct *

-

-

coc:provisionedproduct:listevents

授予查询产品实例事件资源栈事件权限。

list

provisionedproduct *

-

-

coc:provisionedproduct:listresources

授予查询产品实例资源栈资源权限。

list

provisionedproduct *

-

-

coc:provisionedproduct:create

授予创建产品实例权限。

write

provisionedproduct *

-

-

coc:provisionedproduct:delete

授予删除产品实例权限。

write

provisionedproduct *

-

-

coc::getservicecatalogrole

授予校验服务目录用户角色权限。

read

-

-

coc:system:getservicecatalogrole

coc::listquicksetupconfiguration

授予快速获取配置任务列表权限。

list

-

-

coc:system:listquicksetupconfiguration

coc::getquicksetupconfiguration

授予快速获取配置任务详情权限。

read

-

-

coc:system:getquicksetupconfiguration

coc::createquicksetupconfiguration

授予快速配置任务创建权限。

write

-

-

coc:system:createquicksetupconfiguration

coc::listquicksetupconfigurationtasks

授予快速获取任务的子任务列表权限。

list

-

-

coc:system:listquicksetupconfigurationtasks

coc::createnotificationgroup

授予添加通知群组的权限。

write

-

-

coc:system:createnotificationgroup

coc::updatenotificationgroup

授予更新通知群组的权限。

write

-

-

coc:system:updatenotificationgroup

coc::deletenotificationgroup

授予删除通知群组的权限。

write

-

-

coc:system:deletenotificationgroup

coc::listnotificationgroup

授予查询通知群组的权限。

list

-

-

coc:system:listnotificationgroup

coc::subscribenotificationgroup

授予订阅通知群组的权限。

write

-

-

coc:system:subscribenotificationgroup

coc:product:createconstraint

授予创建约束的权限。

write

product *

-

coc:system:subscribenotificationgroup

coc:product:deleteconstraint

授予删除约束的权限。

write

product *

-

coc:system:subscribenotificationgroup

coc:product:updateconstraint

授予更新约束的权限。

write

product *

-

coc:system:subscribenotificationgroup

coc:product:getconstraint

授予查询约束详情的权限。

read

product *

-

coc:system:subscribenotificationgroup

coc:product:listconstraint

授予查询约束列表的权限。

list

-

-

-

coc::getosupgradepath

授予根据租户升级路径确定升级的配置信息的权限。

read

-

-

coc:system:getosupgradepath

coc::getoscustomscriptruntimeparams

授予获取租户在操作系统升级、回退作业中设置的自定义脚本配置信息的权限。

read

-

-

coc:system:getoscustomscriptruntimeparams

coc::updateoscustomscriptruntimeparams

授予修改租户在操作系统升级、回退作业中设置的自定义脚本配置信息的权限。

write

-

-

coc:system:updateoscustomscriptruntimeparams

coc:vm:upgradeosversion

授予升级操作系统版本的权限。

write

instance

g:enterpriseprojectid

coc:system:updateoscustomscriptruntimeparams

vm

-

coc:vm:rollbackosversion

授予回退操作系统版本的权限。

write

instance

g:enterpriseprojectid

coc:system:updateoscustomscriptruntimeparams

vm

-

coc:slobasicdata:list

授予查询基础数据列表的权限。

list

-

-

-

coc:slobasicdata:create

授予新增基础数据的权限。

write

-

-

-

coc:slobasicdata:update

授予修改基础数据信息的权限。

write

-

-

-

coc:slobasicdata:delete

授予删除基础数据信息的权限。

write

-

-

-

coc:slodiagram:get

授予查询框图详情的权限。

read

slodiagram *

-

coc:slodiagram:create

授予创建框图的权限。

write

-

g:enterpriseprojectid

-

coc:slodiagram:list

授予查询框图列表的权限。

list

-

-

-

coc:slodiagram:update

授予修改框图的权限。

write

slodiagram *

-

coc:slodiagram:delete

授予删除框图的权限。

write

slodiagram *

-

coc::gettopology

授予查询拓扑详情的权限。

read

-

-

coc:system:gettopology

coc::gettopologydimension

授予查询拓扑维度详情的权限。

read

-

-

coc:system:gettopologydimension

coc::gettopologyvertexdetails

授予查询点历史指标的权限。

read

-

-

coc:system:gettopologyvertexdetails

coc::gettopologyedgedetails

授予查询边历史指标的权限。

read

-

-

coc:system:gettopologyedgedetails

coc::listtopologyconfigurations

授予查询拓扑配置的权限。

list

-

-

coc:system:listtopologyconfigurations

coc::createtopologyconfigurations

授予创建拓扑配置的权限。

write

-

-

coc:system:createtopologyconfigurations

coc::updatetopologyconfigurations

授予更新拓扑配置的权限。

write

-

-

coc:system:updatetopologyconfigurations

coc::listcrossaccountenterpriseprojects

授予查询跨账号场景下指定租户企业项目列表的权限。

list

-

-

coc:system:listcrossaccountenterpriseprojects

coc::getuseridentity

授予查询登录用户身份的权限。

read

-

-

coc:system:getuseridentit

coc:template:list

授予查询模板列表的权限。

list

-

-

-

coc:template:get

授予查询模板详情的权限。

read

template *

-

-

coc:template:create

授予创建模板的权限。

write

-

-

-

coc:template:update

授予更新模板的权限。

write

template *

-

-

coc:template:delete

授予删除模板的权限。

write

template *

-

-

coc:template:listversions

授予查询模板版本列表的权限。

list

-

-

-

coc:template:getversion

授予查询模板版本详情的权限。

read

template *

-

-

coc:template:searchauthorizations

授予查询模板授权列表的权限。

list

-

-

-

coc:template:createauthorization

授予添加模板授权的权限。

write

template *

-

-

coc:template:deleteauthorization

授予删除模板授权的权限。

write

template *

-

-

coc:template:listconstraint

授予查询模板约束列表的权限。

list

-

-

-

coc:template:createconstraint

授予创建模板约束的权限。

write

template *

-

-

coc:template:updateconstraint

授予更新模板约束的权限。

write

template *

-

-

coc:template:deleteconstraint

授予删除模板约束的权限。

write

template *

-

-

coc:templateinstance:create

授予创建模板实例的权限。

write

-

-

-

coc:templateinstance:list

授予查询模板实例列表的权限。

list

-

-

-

coc:templateinstance:get

授予查询模板实例详情的权限。

read

templateinstance *

-

-

coc:templateinstance:listevents

授予查询模板实例事件列表的权限。

list

templateinstance *

-

-

coc:templateinstance:listresources

授予查询模板实例资源列表的权限。

list

templateinstance *

-

-

coc:templateinstance:delete

授予删除模板实例的权限。

write

templateinstance *

-

-

coc:templateinstance:createretry

授予创建模板实例重试的权限。

write

-

-

-

coc::getbibackbonenetworktopo

授予权限查询bi主干网络拓扑图。

read

-

-

coc:system:getbibackbonenetworktopo

coc::updatebibackbonenetworktopo

授予权限修改bi主干网络拓扑图。

write

-

-

coc:system:updatebibackbonenetworktopo

coc::getbibackbonenetworktraffic

授予权限获取主干网络流量数据。

read

-

-

coc:system:getbibackbonenetworktraffic

coc::refreshbibackbonenetworktopo

授予权限刷新主干网络拓扑结构。

write

-

-

coc:system:refreshbibackbonenetworktopo

coc::getbibackbonenetworkmetrics

授予权限获取主干网络带宽数据。

read

-

-

coc:system:getbibackbonenetworkmetrics

coc::getbiscreenconfig

授予权限获取bi大屏配置参数。

read

-

-

coc:system:getbiscreenconfig

coc::updatebiscreenconfig

授予权限修改bi大屏配置。

write

-

-

coc:system:updatebiscreenconfig

coc::getbiresourcealarmresourceinfos

授予权限获取资源告警大屏的资源类信息。

read

-

-

coc:system:getbiresourcealarmresourceinfos

coc::getbiresourcealarmalarminfos

授予权限获取资源告警大屏的告警类信息。

read

-

-

coc:system:getbiresourcealarmalarminfos

coc::createalarmfiltertemplate

授予创建原始告警筛选模板的权限。

write

-

-

coc:system:createalarmfiltertemplate

coc::deletealarmfiltertemplate

授予删除原始告警筛选模板的权限。

write

-

-

coc:system:deletealarmfiltertemplate

coc::listalarmfiltertemplate

授予查询原始告警筛选模板列表的权限。

list

-

-

coc:system:listalarmfiltertemplate

coc::getresourcetopology

授予查询资源拓扑详情的权限。

read

-

-

coc:system:getresourcetopology

coc::listconfigurationitem

授予权限查看配置项列表。

list

-

-

coc:system:listconfigurationitem

coc:cirelationshipbaseline:create

授予权限创建新的配置项关系基线。

write

-

-

-

coc:cirelationshipbaseline:delete

授予权限删除已存在的配置项关系基线。

write

cirelationshipbaseline *

-

-

coc:cirelationshipbaseline:get

授予权限查看配置项关系基线详情。

read

cirelationshipbaseline *

-

-

coc:cirelationshipbaseline:list

授予权限查看配置项关系基线列表。

list

-

-

-

coc:cirelationshipbaseline:update

授予权限更新已存在的配置项关系基线。

write

cirelationshipbaseline *

-

-

coc的api通常对应着一个或多个授权项。表2展示了api与授权项的关系,以及该api需要依赖的授权项。

表2 api与授权项的关系

api

对应的授权项

依赖的授权项

get /v1/resources/count

coc:instance:countresources

-

get /v1/applications

coc:application:list

-

post /v1/applications

coc:application:create

-

put /v1/applications/{id}

coc:application:update

-

delete /v1/applications/{id}

coc:application:delete

-

post /v1/groups

coc:application:creategroup

-

get /v1/groups

coc:application:listgroups

-

put /v1/groups/{id}

coc:application:updategroup

-

delete /v1/groups/{id}

coc:application:deletegroup

-

post /v1/groups/{id}/sync

coc:application:syncgroupresource

-

put /v1/group-resource-relations

coc:application:updateresources

-

post /v1/group-resource-relations

coc:application:addresources

-

delete /v1/group-resource-relations

coc:application:removeresources

-

get /v1/group-resource-relations

coc:application:listresources

-

get /v1/group-resource-relations/count

coc:application:countresourcerelations

-

post /v1/other-resources/import

coc:instance:syncresources

-

post /v1/components

coc:application:create

-

get /v1/components

coc:application:list

-

put /v1/components/{id}

coc:application:update

-

delete /v1/components/{id}

coc:application:delete

-

get /v1/application-view/search

coc:application:list

-

post /v1/capacity

coc:application:getcapacity

-

get /v1/capacity/order

coc:application:getsortedcapacity

-

post /v1/vendor-account

coc:vendoraccount:create

-

get /v1/vendor-account

coc:vendoraccount:list

-

put /v1/vendor-account

coc:vendoraccount:update

-

delete /v1/vendor-account

coc:vendoraccount:delete

-

get /v1/multicloud-resources/count

coc:instance:countresources

-

post /v1/multicloud-resources/sync

coc:instance:syncresources

-

get /v1/resource/views

coc:resourceview:list

-

post /v1/resource/views

coc:resourceview:create

-

put /v1/resource/views/{id}

coc:resourceview:update

-

delete /v1/resource/views/{id}

coc:resourceview:delete

-

post /v1/resource/views/{id}/sync

coc:resourceview:syncresources

-

get /v1/resource/views/resources

coc:resourceview:listresources

-

get /v1/resource/views/resources/count

coc:resourceview:countresources

-

get /v1/other-resources

coc:instance:listresources

-

delete /v1/other-resources

coc:instance:syncresources

-

put /v1/other-resources/{id}

coc:instance:syncresources

-

get /v1/other-resources/count

coc:instance:countotherresources

-

get /v1/resources/{resource_id}/tags

coc:instance:listtagsforresource

-

post /v1/resources/{resource_id}/tags

coc:instance:addresourcetotags

-

post /v1/resources/uniagent/sync

coc:instance:syncresources

-

post /v1/other-resources/uniagent/sync

coc:instance:syncresources

-

get /v1/enterprise-project-collect

coc::listepscollection

-

put /v1/enterprise-project-collect

coc::updateepscollection

-

get /v1/multicloud-resources/last-sync-status

coc::getlastsyncstatus

-

get /v1/jobs/{job_id}

coc::getresourcesyncjobdetail

-

get /v1/multicloud-resources

coc:instance:listresources

-

get /v1/application-model/next

coc:application:listmodel

-

post /v1/application-view/batch-create

coc:application:create

-

get /v1/resources

coc:instance:listresources

-

get /v1/resources/multi-count

coc:instance:countresources

-

post /v1/schedule/task

coc:schedule:create

iam:agencies:pass

(授予向云服务传递委托的权限)

get /v1/schedule/task

coc:schedule:list

-

put /v1/schedule/task/{task_id}

coc:schedule:update

iam:agencies:pass

(授予向云服务传递委托的权限)

get /v1/schedule/task/{task_id}

coc:schedule:get

-

delete /v1/schedule/task/{task_id}

coc:schedule:delete

-

post /v1/schedule/task/{task_id}/enable

coc:schedule:enable

-

post /v1/schedule/task/{task_id}/disable

coc:schedule:disable

-

get /v1/schedule/task/history

coc:schedule:gethistories

-

post /v1/alarm-mgmt/alarm/{alarm_id}/auto-process

coc:instance:executedocument

-

post /v1/alarm-mgmt/alarms/cancel

coc:alarm:clear

-

post /v1/alarm-mgmt/alarms-linked-incident

coc:alarm:createalarmlinkedincident

-

get /v1/alarm-mgmt/alarm/{alarm_id}/handle-histories

coc:alarm:listhandlehistories

-

get /v1/alarm-mgmt/alarm/{alarm_id}

coc:alarm:get

-

post /v2/incidents/{incident_id}/actions

coc:ticket:action

-

post /v2/incidents/list

coc:ticket:list

-

post /v2/incidents/{incident_id}/histories

coc:ticket:getoperationhistories

-

get /v2/incidents/{incident_id}/tasks

coc:ticket:listactions

-

post /v1/external/incident/create

coc:ticket:create

-

post /v1/external/incident/attachments

coc:ticket:uploadfile

-

post /v1/external/incident/handle

coc:ticket:action

-

post /v1/external/{ticket_type}/list-histories

coc:ticket:getoperationhistories

-

post /v1/external/list/authorizable-tickets

coc:ticket:listauthorizable

-

get /v1/incident-tickets

coc:ticket:list

-

get /v1/external/incident/{incident_num}

coc:ticket:get

-

post /v1/external/issues/create

coc:ticket:create

-

get /v1/external/issues/{ticket_id}

coc:ticket:get

-

post /v1/external/warrooms

coc:warroom:create

-

post /v1/external/warrooms/list

coc:warroom:list

-

post /v1/instances/batches

coc:instance:autobatchinstances

-

post /v1/job/analyze-job

coc:document:analyzerisk

-

post /v1/job/scripts/{script_uuid}

coc:instance:executedocument

-

post /v1/job/public-scripts/{script_uuid}

coc:instance:executedocument

-

get /v1/job/scripts

coc:document:list

-

get /v1/job/scripts/{script_uuid}

coc:document:get

-

post /v1/job/scripts

coc:document:create

-

put /v1/job/scripts/{script_uuid}

coc:document:update

-

delete /v1/job/scripts/{script_uuid}

coc:document:delete

-

post /v1/job/scripts/{script_uuid}/action

coc:document:update

-

get /v1/job/public-scripts

coc:document:list

-

get /v1/job/public-scripts/{script_uuid}

coc:document:get

-

get /v1/job/script/orders

coc:job:list

-

get /v1/job/script/orders/{execute_uuid}

coc:job:get

-

get /v1/job/script/orders/{execute_uuid}/batches/{batch_index}

coc:job:get

-

get /v1/job/script/orders/{execute_uuid}/batches

coc:job:get

-

get /v1/job/script/orders/{execute_uuid}/statistics

coc:job:get

-

put /v1/job/script/orders/{execute_uuid}/operation

coc:job:action

-

get /v1/documents

coc:document:createdocument

-

post /v1/documents

coc:document:listdocument

-

get /v1/atomics

coc:documentatomic:list

-

get /v1/atomics/{atomic_unique_key}

coc:documentatomic:get

-

put /v1/documents/{document_id}

coc:document:updatedocument

-

post /v1/documents/{document_id}

coc:document:execute

-

get /v1/documents/{document_id}

coc:document:getdocument

-

delete /v1/documents/{document_id}

coc:document:deletedocument

-

get /v1/executions/{execution_id}

coc:execution:get

-

get /v1/executions/{execution_id}/steps

coc:execution:listexecutionstep

-

get /v1/executions

coc:execution:list

-

get /v1/executions/instances

coc:execution:listexecutionstepinstance

-

post /v1/executions

coc:execution:operate

-

get /v1/diagnosis/tasks

coc:job:list

-

post /v1/diagnosis/tasks

coc:job:action

aom:uniagentagent:install

aom:uniagentagent:uninstall

dcs:instance:creatediagnosistask

dcs:instance:listdiagnosistask

dms:instance:getdetail

dms:instance:getdiagnosisreport

dms:instance:creatediagnosistask

dms:instance:listdiagnosisreport

elb:members:show

rds:instance:listall

get /v1/diagnosis/tasks/{task_id}/node/{code}

coc:job:get

-

get /v1/diagnosis/tasks/{task_id}

coc:job:get

-

post /v1/diagnosis/tasks/{task_id}/retry

coc:job:action

aom:uniagentagent:install

aom:uniagentagent:uninstall

dcs:instance:creatediagnosistask

dcs:instance:listdiagnosistask

dms:instance:getdetail

dms:instance:getdiagnosisreport

dms:instance:creatediagnosistask

dms:instance:listdiagnosisreport

elb:members:show

rds:instance:listall

post /v1/diagnosis/tasks/{task_id}/cancel

coc:job:action

-

get /v1/diagnosis/tasks/{task_id}/summary

coc:job:action

-

get /v1/patch/instance/compliant

coc:compliancereport:list

-

get /v1/patch/instance/compliant/{instance_compliant_id}

coc:compliancereport:get

-

资源类型(resource)

资源类型(resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的策略语句中指定该资源的urn,策略仅作用于此资源;如未指定,resource默认为“*”,则策略将应用到所有资源。您也可以在策略中设置条件,从而指定资源类型。

coc定义了以下可以在策略的resource元素中使用的资源类型。

表3 coc支持的资源类型

资源类型

urn

instance

  • ecs:::instance:
  • bms:::instance:
  • rds:::instance:
  • gaussdb:::instance:

document

coc:::document:

application

coc:::application:

resourceview

coc:::resourceview:

schedule

coc:::schedule:

job

coc:::job:

faultmode

coc:::faultmode:

contingencyplan

coc:::contingencyplan:

attacktask

coc:::attacktask:

attackrecord

coc:::attackrecord:

drilltask

coc:::drilltask:

attacktargetrecord

coc:::attacktargetrecord:

drillrecord

coc:::drillrecord:

drillplan

coc:::drillplan:

slatemplate

coc:::slatemplate:

parameter

coc:::parameter:

accountbaseline

coc:::accountbaseline:

provisionedproduct

coc:::provisionedproduct:

product

coc:::product:

portfolio

coc:::portfolio:

slodiagram

coc:::slodiagram:

template

coc:::template:

templateinstance

coc:::templateinstance:

vm

coc:::vm:/

cirelationshipbaseline

coc:::cirelationshipbaseline:

条件(condition)

条件(condition)是身份策略生效的特定条件,包括条件键运算符

  • 条件键表示身份策略语句的condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如coc:)仅适用于对应服务的操作,详情请参见表4
    • 单值/多值表示api调用时请求中与条件关联的值数。单值条件键在api调用时的请求中最多包含一个值,多值条件键在api调用时请求可以包含多个值。例如:g:sourcevpce是单值条件键,表示仅允许通过某个vpc终端节点发起请求访问某资源,一个请求最多包含一个vpc终端节点id值。g:tagkeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用api请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符

coc定义了以下可以在身份策略的condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。

表4 coc支持的服务级条件键

服务级条件键

类型

单值/多值

说明

coc:ticketlevel

string

单值

根据请求参数中的工单级别进行过滤访问。

coc:ticketcurrenthandlers

string

多值

根据请求参数中的工单操作人进行过滤访问。

coc:ticketstatus

string

单值

根据请求参数中的工单状态进行过滤访问。

coc:tickettype

string

单值

根据请求参数中的工单类型进行过滤访问。

coc:ticketbegintime

date

单值

根据请求参数中的工单开始时间进行过滤访问。

coc:ticketendtime

date

单值

根据请求参数中的工单结束时间进行过滤访问。

coc:operatorname

string

单值

根据请求参数中的操作人进行过滤访问。

coc:requesttarget

string

单值

根据请求参数中的提权应用进行过滤访问。

coc:tickettarget

string

多值

根据请求参数中的工单应用进行过滤访问。

coc:ticketscope

string

多值

根据请求参数中的工单的范围进行过滤访问。

coc:requestscope

string

单值

根据请求参数中的提权范围进行过滤访问。

coc:escapeswitchisenabled

boolean

单值

根据请求参数中的逃生开关进行过滤访问。

coc:creator

string

单值

根据coc中的资源的创建人过滤访问。

coc:executor

string

单值

根据coc中的工单指定的执行人过滤访问。

coc:documentrisklevel

string

单值

根据请求参数中指定的文档风险等级过滤访问。

coc:jobtype

string

单值

根据请求参数中指定的工单类型过滤访问。

coc:applicationcode

string

多值

根据请求参数中指定的应用编码过滤访问。

coc:applicationgroupcode

string

单值

根据请求参数中指定的应用分组编码过滤访问。

coc:attacktargettype

string

单值

根据请求参数中攻击目标的类型进行过滤访问。

coc:quicksetuptype

string

单值

根据请求参数中请求配置类型进行过滤访问。

相关文档

网站地图