更新时间:2026-02-02 gmt 08:00

边缘安全 edgesec-j9九游会登录

云服务在iam预置了常用授权项,称为系统身份策略。如果iam系统身份策略无法满足授权要求,管理员可以根据各j9九游会登录的服务支持的授权项,创建iam自定义身份策略来进行精细的访问控制,iam自定义身份策略是对系统身份策略的扩展和补充。

除iam服务外,organizations服务中的服务控制策略(service control policy,以下简称scp)也可以使用这些授权项元素设置访问控制策略。

scp不直接进行授权,只划定权限边界。将scp绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。iam身份策略授予权限的有效性受scp限制,只有在scp允许范围内的权限才能生效。

iam服务与organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:iam服务与organizations服务权限访问控制的区别

本章节介绍iam服务身份策略授权场景中自定义身份策略和组织服务中scp使用的元素,这些元素包含了操作(action)、资源(resource)和条件(condition)

操作(action)

操作(action)即为身份策略中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的urn。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于edgesec定义的资源类型的详细信息请参见资源类型(resource)

  • “条件键”列包括了可以在身份策略语句的condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于edgesec定义的条件键的详细信息请参见条件(condition)

  • 别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的api访问。详细信息请参见身份策略兼容性说明

您可以在身份策略语句的action元素中指定以下edgesec的相关操作。

表1 edgesec支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

别名

edgesec::purchaseproduct

授予权限购买边缘安全加速产品。

write

-

-

edgesec:product:put

edgesec::changeproduct

授予权限变更边缘安全加速产品。

write

-

-

edgesec:product:put

edgesec:domain:create

授予权限创建边缘安全防护域名。

write

domain *

g:enterpriseprojectid

edgesec:wafdomain:create

edgesec:domain:get

授予权限查询边缘安全防护域名。

read

domain *

g:enterpriseprojectid

edgesec:wafdomain:get

edgesec:domain:listedgesecdomain

授予权限查询边缘安全防护域名。

list

domain *

g:enterpriseprojectid

edgesec:wafdomain:list

edgesec:domain:listcdndomain

授予权限查询边缘安全防护域名。

list

domain *

g:enterpriseprojectid

edgesec:cdndomain:list

edgesec:domain:update

授予权限更新边缘安全防护域名。

write

domain *

g:enterpriseprojectid

edgesec:wafdomain:put

edgesec:domain:delete

授予权限删除边缘安全防护域名。

write

domain *

g:enterpriseprojectid

edgesec:wafdomain:delete

edgesec::gethttpattackdistribution

授予权限查询http攻击分布统计数据。

list

-

g:enterpriseprojectid

edgesec:statistics:get

edgesec::gethttpattacktimeline

授予权限查询http攻击时间线统计数据。

list

-

g:enterpriseprojectid

edgesec:statistics:get

edgesec::gethttpattacktop

授予权限查询http攻击top统计数据。

list

-

g:enterpriseprojectid

edgesec:statistics:get

edgesec::getdomainthreatendistribution

授予权限查询3天域名威胁统计数据。

list

-

-

edgesec:statistics:get

edgesec::getbotattackdistribution

授予权限查询bot攻击分布统计数据。

list

-

g:enterpriseprojectid

edgesec:statistics:get

edgesec::getbotattacktimeline

授予权限查询bot攻击时间线统计数据。

list

-

g:enterpriseprojectid

edgesec:statistics:get

edgesec::getddosattacktimeline

授予权限查询ddos攻击时间线统计数据。

list

-

-

edgesec:statistics:get

edgesec::getoverviews

授予权限查询安全总览请求数据。

list

-

-

edgesec:wafoverviewsstatistics:get

edgesec::getoverviewsqpstimeline

授予权限查询安全统计qps次数。

list

-

-

edgesec:wafoverviewsqpstimeline:get

edgesec::getoverviewsbandwidthtimeline

授予权限查询安全统计带宽数据。

list

-

-

edgesec:wafoverviewsbandwidthtimeline:get

edgesec::getoverviewsclassification

授予权限查询安全总览分类信息。

list

-

-

edgesec:wafoverviewsclassification:get

edgesec::getoverviewsresponsecodetimeline

授予权限查询安全统计响应码数据。

list

-

-

edgesec:wafoverviewsresponsecodetimeline:get

edgesec::getoverviewsabnormal

授予权限查询业务异常监控。

list

-

-

edgesec:wafoverviewsabnormal:get

edgesec::listddoslogs

授予权限读取日志数据。

list

-

-

edgesec:log:get

edgesec::getltsconfig

授予权限查询lts配置。

read

-

-

edgesec:ltsconfig:get

edgesec::updateltsconfig

授予权限更新lts配置。

write

-

-

edgesec:ltsconfig:update

edgesec::getddoslogs

授予权限下载ddos攻击日志。

read

-

-

edgesec:log:get

edgesec::listhttplogs

授予权限读取http攻击日志。

list

-

-

edgesec:log:list

edgesec:protectionrule:createruleset

授予权限创建边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:create

edgesec:protectionrule:listrulesets

授予权限查询边缘安全防护内置规则集。

list

-

-

edgesec:managedwafruleset:list

edgesec:protectionrule:deleterulesets

授予权限批量删除边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:batchdelete

edgesec:protectionrule:getruleset

授予权限查询指定边缘安全防护内置规则集。

read

-

-

edgesec:managedwafruleset:get

edgesec:protectionrule:updateruleset

授予权限更新指定边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:put

edgesec:protectionrule:applyruleset

授予权限更新指定边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:apply

edgesec:protectionrule:deleteruleset

授予权限删除指定边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:delete

edgesec:protectionrule:copyruleset

授予权限复制边缘安全防护内置规则集。

write

-

-

edgesec:managedwafruleset:copy

edgesec:protectionrule:getbotbehaviordetectionrule

授予权限查询边缘安全bot防护规则。

read

-

-

edgesec:botbehaviordetectionrules:get

edgesec:protectionrule:getbotknowncategoryrule

授予权限查询边缘安全bot防护规则。

read

-

-

edgesec:botknowncategoryrules:get

edgesec:protectionrule:getbottransparentdetectionrule

授予权限查询边缘安全bot防护规则。

read

-

-

edgesec:bottransparentdetectionrules:get

edgesec:protectionrule:updatebotbehaviordetectionrule

授予权限更新边缘安全bot防护规则。

write

-

-

edgesec:botbehaviordetectionrules:update

edgesec:protectionrule:updatebotknowncategoryrule

授予权限更新边缘安全bot防护规则。

write

-

-

edgesec:botknowncategoryrules:batchupdate

edgesec:protectionrule:updatebottransparentdetectionrule

授予权限更新边缘安全bot防护规则。

write

-

-

edgesec:bottransparentdetectionrules:batchupdate

edgesec:protectionrule:listignorerule

授予权限查询误报屏蔽防护规则列表。

list

-

-

edgesec:wafignorerule:list

edgesec:protectionrule:createignorerule

授予权限创建误报屏蔽防护规则。

write

-

-

edgesec:wafignorerule:create

edgesec:protectionrule:getignorerule

授予权限查询误报屏蔽防护规则。

read

-

-

edgesec:wafignorerule:get

edgesec:protectionrule:updateignorerule

授予权限更新误报屏蔽防护规则。

write

-

-

edgesec:wafignorerule:put

edgesec:protectionrule:recountignorerule

授予权限重置误报屏蔽防护规则。

write

-

-

edgesec:wafignorerule:recount

edgesec:protectionrule:deleteignorerule

授予权限删除误报屏蔽防护规则。

write

-

-

edgesec:wafignorerule:delete

edgesec:protectionrule:listpolicy

授予权限查询防护策略列表。

list

-

-

edgesec:wafpolicy:list

edgesec:protectionrule:createpolicy

授予权限创建防护策略规则。

write

-

-

edgesec:wafpolicy:create

edgesec:protectionrule:getpolicy

授予权限查询防护策略规则。

read

-

-

edgesec:wafpolicy:get

edgesec:protectionrule:updatepolicy

授予权限更新防护策略规则。

write

-

-

edgesec:wafpolicy:put

edgesec:protectionrule:updatepolicydomain

授予权限应用域名防护策略规则。

write

-

-

edgesec:wafpolicydomain:put

edgesec:protectionrule:updaterulestatus

授予权限应用域名防护策略规则开关。

write

-

-

edgesec:wafpolicyrulestatus:put

edgesec:protectionrule:deletepolicy

授予权限删除防护策略规则。

write

-

-

edgesec:wafpolicy:delete

edgesec:protectionrule:listprivacymaskrule

授予权限查询隐私屏蔽防护规则列表。

list

-

-

edgesec:wafprivacymaskrule:list

edgesec:protectionrule:createprivacymaskrule

授予权限创建隐私屏蔽防护规则。

write

-

-

edgesec:wafprivacymaskrule:create

edgesec:protectionrule:getprivacymaskrule

授予权限查询隐私屏蔽防护规则。

read

-

-

edgesec:wafprivacymaskrule:get

edgesec:protectionrule:updateprivacymaskrule

授予权限更新隐私屏蔽防护规则。

write

-

-

edgesec:wafprivacymaskrule:put

edgesec:protectionrule:deleteprivacymaskrule

授予权限删除隐私屏蔽防护规则。

write

-

-

edgesec:wafprivacymaskrule:delete

edgesec:protectionrule:listpunishmentrule

授予权限查询攻击惩罚列表。

list

-

-

edgesec:wafpunishmentrule:list

edgesec:protectionrule:createpunishmentrule

授予权限创建攻击惩罚。

write

-

-

edgesec:wafpunishmentrule:create

edgesec:protectionrule:getpunishmentrule

授予权限查询攻击惩罚。

read

-

-

edgesec:wafpunishmentrule:get

edgesec:protectionrule:updatepunishmentrule

授予权限更新攻击惩罚。

write

-

-

edgesec:wafpunishmentrule:put

edgesec:protectionrule:deletepunishmentrule

授予权限删除攻击惩罚。

write

-

-

edgesec:wafpunishmentrule:delete

edgesec:protectionrule:listipgroup

授予权限查询ip地址组列表。

list

-

-

edgesec:wafipgroup:list

edgesec:protectionrule:createipgroup

授予权限创建ip地址组。

write

-

-

edgesec:wafipgroup:create

edgesec:protectionrule:getipgroup

授予权限查询ip地址组。

read

-

-

edgesec:wafipgroup:get

edgesec:protectionrule:updateipgroup

授予权限更新ip地址组。

write

-

-

edgesec:wafipgroup:put

edgesec:protectionrule:deleteipgroup

授予权限删除ip地址组。

write

-

-

edgesec:wafipgroup:delete

edgesec:protectionrule:listvaluelist

授予权限查询引用表列表。

list

-

-

edgesec:wafvaluelist:list

edgesec:protectionrule:createvaluelist

授予权限创建引用表。

write

-

-

edgesec:wafvaluelist:create

edgesec:protectionrule:getvaluelist

授予权限查询引用表。

read

-

-

edgesec:wafvaluelist:get

edgesec:protectionrule:updatevaluelist

授予权限更新引用表。

write

-

-

edgesec:wafvaluelist:put

edgesec:protectionrule:deletevaluelist

授予权限删除引用表。

write

-

-

edgesec:wafvaluelist:delete

edgesec:protectionrule:updatethirdbot

授予权限更新三方bot防护规则。

write

-

-

edgesec:wafthirdbotrule:put

edgesec:protectionrule:deletethirdbot

授予权限删除三方bot防护规则。

write

-

-

edgesec:wafthirdbotrule:delete

edgesec:protectionrule:listaccesscontrolrule

授予权限查询访问控制防护规则集列表。

list

-

-

edgesec:wafcustomrule:list

edgesec:protectionrule:listanticrawlerrule

授予权限查询反爬虫防护规则集列表。

list

-

-

edgesec:wafanticrawlerrule:list

edgesec:protectionrule:createaccesscontrolrule

授予权限创建访问控制防护规则集。

write

-

-

edgesec:wafcustomrule:create

edgesec:protectionrule:createanticrawlerrule

授予权限创建反爬虫防护规则集。

write

-

-

edgesec:wafanticrawlerrule:create

edgesec:protectionrule:updateaccesscontrolrule

授予权限更新访问控制防护规则集。

write

-

-

edgesec:wafcustomrule:put

edgesec:protectionrule:updateanticrawlerrule

授予权限更新反爬虫防护规则集。

write

-

-

edgesec:wafanticrawlerrule:put

edgesec:protectionrule:switchanticrawlerrule

授予权限更新反爬虫防护规则集开关。

write

-

-

edgesec:wafanticrawlerrule:switch

edgesec:protectionrule:getaccesscontrolrule

授予权限查询访问控制防护规则集详情。

read

-

-

edgesec:wafcustomrule:get

edgesec:protectionrule:getanticrawlerrule

授予权限查询反爬虫防护规则集详情。

read

-

-

edgesec:wafanticrawlerrule:get

edgesec:protectionrule:deleteaccesscontrolrule

授予权限删除访问控制防护规则集。

write

-

-

edgesec:wafcustomrule:delete

edgesec:protectionrule:deleteanticrawlerrule

授予权限删除反爬虫防护规则集。

write

-

-

edgesec:wafanticrawlerrule:delete

edgesec:protectionrule:listgeoipareas

授予权限查询地理位置选项列表。

list

-

-

edgesec:wafgeoipmap:list

edgesec:protectionrule:listccrule

授予权限查询cc规则列表。

list

-

-

edgesec:wafccrule:list

edgesec:protectionrule:listblocktrustiprule

授予权限查询ip黑白名单规则列表。

list

-

-

edgesec:wafwhiteblackiprule:list

edgesec:protectionrule:createblocktrustiprule

授予权限创建ip黑白名单规则。

write

-

-

edgesec:wafwhiteblackiprule:create

edgesec:protectionrule:createccrule

授予权限创建cc规则。

write

-

-

edgesec:wafccrule:create

edgesec:protectionrule:getblocktrustiprule

授予权限查询ip黑白名单规则。

read

-

-

edgesec:wafwhiteblackiprule:get

edgesec:protectionrule:getccrule

授予权限查询cc规则。

read

-

-

edgesec:wafccrule:get

edgesec:protectionrule:deleteblocktrustiprule

授予权限删除ip黑白名单规则。

write

-

-

edgesec:wafwhiteblackiprule:delete

edgesec:protectionrule:deleteccrule

授予权限删除cc规则。

write

-

-

edgesec:wafccrule:delete

edgesec:protectionrule:updateblocktrustiprule

授予权限更新ip黑白名单规则。

write

-

-

edgesec:wafwhiteblackiprule:put

edgesec:protectionrule:updateccrule

授予权限更新cc规则。

write

-

-

edgesec:wafccrule:put

edgesec的api通常对应着一个或多个授权项。表2展示了api与授权项的关系,以及该api需要依赖的授权项。

表2 api与授权项的关系

api

对应的授权项

依赖的授权项

get /v1/edgesec/log/ddos-attack-logs

edgesec::listddoslogs

-

post /v1/edgesec/configuration/domains

edgesec:domain:create

-

put /v1/edgesec/configuration/domains/{domain_id}

edgesec:domain:update

-

delete /v1/edgesec/configuration/domains/{domain_id}

edgesec:domain:delete

-

get /v1/edgesec/configuration/domains/{domain_id}

edgesec:domain:get

-

get /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule

edgesec:protectionrule:listaccesscontrolrule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule

edgesec:protectionrule:createaccesscontrolrule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule/batch-update

edgesec:protectionrule:updateaccesscontrolrule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule/{rule_id}

edgesec:protectionrule:getaccesscontrolrule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule/{rule_id}

edgesec:protectionrule:updateaccesscontrolrule

-

delete /v1/edgesec/configuration/http/policies/{policy_id}/access-control-rule/{rule_id}

edgesec:protectionrule:deleteaccesscontrolrule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/blocktrustip-rule

edgesec:protectionrule:listblocktrustiprule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/blocktrustip-rule

edgesec:protectionrule:createblocktrustiprule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/blocktrustip-rule/{rule_id}

edgesec:protectionrule:getblocktrustiprule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/blocktrustip-rule/{rule_id}

edgesec:protectionrule:updateblocktrustiprule

-

delete /v1/edgesec/configuration/http/policies/{policy_id}/blocktrustip-rule/{rule_id}

edgesec:protectionrule:deleteblocktrustiprule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule

edgesec:protectionrule:listccrule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule

edgesec:protectionrule:createccrule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule/batch-update

edgesec:protectionrule:updateccrule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule/{rule_id}

edgesec:protectionrule:getccrule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule/{rule_id}

edgesec:protectionrule:updateccrule

-

delete /v1/edgesec/configuration/http/policies/{policy_id}/cc-rule/{rule_id}

edgesec:protectionrule:deleteccrule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule

edgesec:protectionrule:listignorerule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule

edgesec:protectionrule:createignorerule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule/{rule_id}

edgesec:protectionrule:getignorerule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule/{rule_id}

edgesec:protectionrule:updateignorerule

-

delete /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule/{rule_id}

edgesec:protectionrule:deleteignorerule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/ignore-rule/{rule_id}/recount

edgesec:protectionrule:recountignorerule

-

get /v1/edgesec/configuration/http/policies

edgesec:protectionrule:listpolicy

-

post /v1/edgesec/configuration/http/policies

edgesec:protectionrule:createpolicy

-

get /v1/edgesec/configuration/http/policies/{policy_id}

edgesec:protectionrule:getpolicy

-

put /v1/edgesec/configuration/http/policies/{policy_id}

edgesec:protectionrule:updatepolicy

-

delete /v1/edgesec/configuration/http/policies/{policy_id}

edgesec:protectionrule:deletepolicy

-

post /v1/edgesec/configuration/http/policies/{policy_id}/hosts

edgesec:protectionrule:updatepolicydomain

-

put /v1/edgesec/configuration/http/policies/{policy_id}/{rule_type}/{rule_id}/status

edgesec:protectionrule:updaterulestatus

-

get /v1/edgesec/configuration/http/policies/{policy_id}/punishment-rule

edgesec:protectionrule:listpunishmentrule

-

post /v1/edgesec/configuration/http/policies/{policy_id}/punishment-rule

edgesec:protectionrule:createpunishmentrule

-

get /v1/edgesec/configuration/http/policies/{policy_id}/punishment-rule/{rule_id}

edgesec:protectionrule:getpunishmentrule

-

put /v1/edgesec/configuration/http/policies/{policy_id}/punishment-rule/{rule_id}

edgesec:protectionrule:updatepunishmentrule

-

delete /v1/edgesec/configuration/http/policies/{policy_id}/punishment-rule/{rule_id}

edgesec:protectionrule:deletepunishmentrule

-

get /v1/edgesec/configuration/http/ip-groups

edgesec:protectionrule:listipgroup

-

post /v1/edgesec/configuration/http/ip-groups

edgesec:protectionrule:createipgroup

-

get /v1/edgesec/configuration/http/ip-groups/{ip_group_id}

edgesec:protectionrule:getipgroup

-

put /v1/edgesec/configuration/http/ip-groups/{ip_group_id}

edgesec:protectionrule:updateipgroup

-

delete /v1/edgesec/configuration/http/ip-groups/{ip_group_id}

edgesec:protectionrule:deleteipgroup

-

get /v1/edgesec/configuration/http/reference-table

edgesec:protectionrule:listvaluelist

-

post /v1/edgesec/configuration/http/reference-table

edgesec:protectionrule:createvaluelist

-

get /v1/edgesec/configuration/http/reference-table/{table_id}

edgesec:protectionrule:getvaluelist

-

put /v1/edgesec/configuration/http/reference-table/{table_id}

edgesec:protectionrule:updatevaluelist

-

delete /v1/edgesec/configuration/http/reference-table/{table_id}

edgesec:protectionrule:deletevaluelist

-

get /v1/edgesec/stat/http-attack-distribution

edgesec::gethttpattackdistribution

-

get /v1/edgesec/stat/http-attack-timelines

edgesec::gethttpattacktimeline

-

get /v1/edgesec/stat/http-attack-top

edgesec::gethttpattacktop

-

资源类型(resource)

资源类型(resource)表示身份策略所作用的资源。表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的身份策略语句中指定该资源的urn,身份策略仅作用于此资源;如未指定,resource默认为“*”,则身份策略将应用到所有资源。您也可以在身份策略中设置条件,从而指定资源类型。

edgesec定义了以下可以在身份策略的resource元素中使用的资源类型。

表3 edgesec支持的资源类型

资源类型

urn

domain

edgesec:::domain:

条件(condition)

edgesec服务不支持在身份策略中的条件键中配置服务级的条件键。

edgesec可以使用适用于所有服务的全局条件键,请参考全局条件键

相关文档

网站地图