全部文档
当前文档
最近更新时间:2025-06-16 15:00:58
访问控制(IAM)已支持对多数金山云产品服务进行权限管理,本文罗列了目前已与访问控制集成的服务,并提供每个服务支持的授权级别、是否支持根据标签进行授权、系统策略等。
每个表格包含以下信息:
云服务:支持访问控制的云服务名称,单击链接至对应的产品服务文档。
授权级别: 当前服务提供的最小授权级别。
说明:其中授权级别分为服务级、操作级和资源级三个级别。
服务级: 将云服务作为一个整体进行授权。一个子用户只能处于对这个产品拥有所有权限和没有任何权限两种状态。
操作级: API级别的授权。一个子用户可以对指定云服务的某类资源执行某几个指定的操作。 例如:授权某账号对云服务器服务进行只读操作。
资源级:定义对特定资源是否有访问权限,这是最小的授权级别。例如:一个子用户仅可对某一台云服务器进行重启操作。
根据标签进行授权:当前服务是否支持通过标签进行权限管理,“✓”表示支持,“-”表示暂不支持。
系统策略:当前云服务支持的系统策略,“-”表示暂无。
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
资源级 | √ | KECAdminFullAccess:提供云主机全部操作管理的权限 | |
资源级 | √ | EPCFullAccess:提供云物理主机功能全部管理权限 | |
操作级 | - | KCIFullAccess:容器实例完整操作权限 | |
操作级 | - | KCEFullAccess:容器完整操作权限(含主机,网络,负载均衡,裸金属服务器,云盘,订单支付) KCEFullAccess-without_payorder:容器完整操作权限(含主机,网络,负载均衡,裸金属服务器,云盘,不含订单支付) | |
操作级 | - | KCE 2.0FullAccess:容器完整操作权限(含主机,网络,负载均衡,裸金属服务器,云盘,订单支付) KCE2.0FullAccess-without_payorder:容器完整操作权限(含主机,网络,负载均衡,裸金属服务器,云盘,不含订单支付) | |
操作级 | - | AICPFullAccess:提供AICP的所有功能权限 AICPKASFullAccess:提供瀚海平台的所有功能权限 AICPConsoleReadOnlyAccess:提供AICP控制台的只读权限 | |
操作级 | - | KCFFullAccess:KCFFullAccess KCFReadOnlyAccess:KCFReadOnlyAccess | |
资源级 | - | KCRFullAccess:容器镜像服务(KCR)全读写权限 KCRReadOnlyAccess:容器镜像服务(KCR)只读权限 | |
操作级 | - | EDSReadOnlyAccess:提供边缘雾计算服务(EDS)功能查询管理权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
资源级 | √ | SLBConsoleFullAccess:提供负载均衡和EIP控制台全部管理权限 SlbAccessLogPolicySet:操作用户ks3资源 SlbAccessLogDefaultRolePolicy:具有操作用户ks3资源的权限 | |
资源级 | - | VPCConsoleFullAccess:提供虚拟专有网络和EIP控制台功能全部管理权限 | |
资源级 | √ | EIPConsoleFullAccess:提供弹性IP控制台功能全部管理权限 | |
操作级 | √ | BWSConsoleFullAccess:提供共享带宽控制台功能全部管理权限 | |
资源级 | √ | CenFullAccess: CenReadOnlyAccess: CENConsoleFullAccess: CENConsoleReadOnlyAccess: | |
操作级 | - | PDNSFullAccess:提供私有域名解析的全部管理权限 PDNSReadOnlyAccess:包括查询Zone,解析记录,以及转发Zone等信息的权限 PDNSConsoleFullAccess:提供私有域名解析控制台功能全部管理权限 PDNSConsoleReadOnlyAccess:提供私有域名解析网络控制台查询功能全部管理权限 | |
操作级 | - | KTMFullAccess:提供流量镜像的全部接口管理权限 KTMReadOnlyAccess:包括查询流量镜像等信息的权限 KTMConsoleFullAccess:提供流量镜像控制台功能全部管理权限 KTMConsoleReadOnlyAccess:提供流量镜像控制台查询功能全部管理权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
资源级 | √ | KRDSConsoleFullAccess:控制台完整权限。包括关系型数据库产品全部权限、以及查询主机列表、VPC列表和子网列表的权限,tag服务的操作权限,支付权限 KRDSOperatorAccess:仅拥有关系型数据库数据库操作和管理的权限,无下订单的权限 | |
资源级 | √ | KCSConsoleFullAccess:包括云数据库Redis产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 KCSOperatorAccess:仅拥有Redis数据库操作和管理的权限,无下订单的权限 | |
资源级 | √ | MongoDBConsoleFullAccess:包括MongoDB型数据库产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 MongoDBOperatorAccess:仅拥有MongoDB数据库操作和管理的权限,无下订单的权限 | |
资源级 | √ | MemcachedConsoleFullAccess:包括云数据库Memcached产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 | |
操作级 | - | InfluxDBFullAccess:包括时序数据库InfluxDB产品全部权限、以及查询主机/云物理主机列表、VPC列表和子网列表的权限 | |
服务级 | - | DTSFullAccess:提供RDS控制台数据迁移服务全部管理权限 | |
服务级 | - | MilvusFullAccess:Milvus全部权限 | |
服务级 | - | TiDBFullAccess:提供云数据库TiDB的全部管理权限 | |
操作级 | - | KDMPFullAccess:提供KDMP服务的全部权限 KDMPDedicatedClusterFullAccess:提供专属集群完整的操作权限(包含容器、裸金属服务器、对象存储、关系型数据库等) | |
资源级 | √ | PostgreSQLReadOnlyAccess:PostgreSQL产品线只读策略,包括PostgreSQL产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag查询权限 PostgreSQLFullAccess:PostgreSQL产品线全部策略,包括PostgreSQL产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag全部权限 | |
资源级 | √ | SQLServerReadOnlyAccess:SQLServer产品线只读策略,包括SQLServer产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag查询权限 SQLServerFullAccess:SQLServer产品线全部策略,包括SQLServer产品线全部权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag全部权限 | |
服务级 | √ | ClickHouseFullAccess:提供云数据库ClickHouse的全部管理权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
资源级 | √ | KS3FullAccess:提供金山云对象存储的全部管理权限 KS3ReadOnlyAccess:提供金山云对象存储的只读权限 KS3ReadOnlyAccess:提供金山云对象存储的只读权限 | |
操作级 | √ | EBSFullAccess:提供EBS硬盘功能全部管理权限 | |
资源级 | - | KPFSFullAccess:提供金山云文件存储KPFS的全部管理权限及对象存储KS3的对象上传下载删除权限 KPFSReadOnlyAccess:提供金山云文件存储KPFS的查询管理权限及对象存储KS3的对象上传下载删除权限 | |
服务级 | - | KS3BillFullAccess:提供金山云对象存储计量的全部管理权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | KMRFullAccess:提供KMR所有操作的权限 KMRReadOnlyAccess:提供KMR全部只读权限 | |
操作级 | √ | KESFULLAcess:提供KES操作全部权限 KESReadOnlyAccess:提供KES全部只读权限 | |
操作级 | √ | KlogReadOnlyAccess:- | |
服务级 | - | powerinsight产品使用权限:- | |
操作级 | - | workflow-commit:拥有工作流提交权限 workflow-complete:拥有工作流审批权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
服务级 | - | KADFullAccess:提供高防IP产品全部管理权限 | |
操作级 | - | KEADFullAccess:提供高防弹性IP产品全部管理权限 | |
服务级 | - | KhsNewReadOnly:主机安全新版只读权限 KhsNewFullAccess:主机安全新版全部权限 | |
服务级 | - | WAFFullAccess:提供web防火墙产品全部管理权限 | |
操作级 | - | KKMSConsoleFullAccess:提供密钥管理服务控制台功能全部管理权限 | |
操作级 | - | KCMFullAccess:提供证书管理产品全部管理权限 | |
操作级 | - | KSMFullAccess:提供云安全管理中心产品全部管理权限 | |
操作级 | - | BRIFullAccess:提供业务风险情报管理权限 | |
服务级 | - | ERSFullAccess:提供应急响应产品全部管理权限 | |
服务级 | - | KPTFullAccess:提供渗透测试管理权限 | |
服务级 | - | KCWPFullAccess:提供主机安全产品全部管理权限 | |
服务级 | - | KFWFullAccess:提供云防火墙的所有功能权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
资源级 | - | CDNFullAccess:提供CDN功能全部管理权限 | |
操作级 | - | KENCFullAccess:边缘计算全部产品的所有操作权限 KENCAdminFullAccess:云主机全部的操作权限,包括新建、查询、修改、操作的全部权限 KENCMetalAdminFullAccess:裸金属全部的操作权限,包括新建、查询、修改、操作的全部权限 | |
边缘资源网络 | 服务级 | - | ERNFullAccess:提供ERN全部OpenAPI接口管理权限 |
操作级 | - | KETFullAccess:提供云直播转码全部OpenAPI接口管理权限 KETReadOnlyAccess:提供云直播转码查询OpenAPI接口管理权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | QzhouFullAccess:轻舟智问的管理权限 QzhouUser:轻舟智问的使用权限 | |
操作级 | - | XRLLMFullAccess:提供金山云星睿大模型全部管理权限 XRLLMReadOnlyAccess:提供金山云星睿大模型查询权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | ActionTrailFullAccess:提供查询审计记录的权限 ActionTrailOnlyAccess:提供操作审计只读权限 | |
资源级 | √ | BindVirtualMFADevice:子用户绑定虚拟MFA设备具有的权限 IAMAccessKeyManage:管理IAM AccessKey IAMRoleResourcesAuthorization:授权对您的云资源中的IAM角色及对应角色策略进行查询和调整 IAMSubusers:子用户管理权限,包括编辑基本信息、安全设置、密钥 AdministratorReadOnlyAccess:提供系统管理员所有只读操作权限 | |
服务级 | - | TagFullAccess:提供标签v1服务全部管理权限 | |
操作级 | - | KsyunQuotasFullAccess:配额管理全部权限 KsyunQuotasReadOnlyAccess:配额管理只读权限 | |
操作级 | - | ResourceDirectoryFullAccess:管理资源目录服务(ResourceDirectory)的权限 ResourceDirectoryReadOnlyAccess:资源目录服务(ResourceDirectory)的全部只读权限 | |
操作级 | - | TAGFullAccess:标签v2(TAG)全读写访问 TAGReadOnlyAccess:标签v2(TAG)只读访问权限 | |
操作级 | - | MonitorReadOnlyAccess:提供云监控查询管理权限(控制台和openAPI) MonitorFullAccess:提供云监控全部管理权限(控制台和openAPI) | |
操作级 | - | BeianIamControlConsole:允许子用户访问备案控制台 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | KEDFullAccess:提供KED的所有功能权限 KEDReadOnlyAccess:提供KED功能的只读权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | InstanceDescribe&SetRenewalOpenAPIAccess:拥有获取实例信息及设置续费策略的OpenAPI调用权限 OpenAPIAllAccess:拥有费用中心全部OPENAPI调用权限 OrderReadOnlyAccess:具有费用账单、订单查看权限及OpenAPI调用权限 PayOrderAccess:订单支付权限 TradeAccountAccess:具有费用中心-收支明细的查看 TradeCouponsAccess:具有 “费用中心-代金券”页面的全部权限 TradeFullAccess:具有费用中心的全部权限 TradeInvoiceManagementAccess:具有“费用中心-发票管理”页面的全部权限 TradeSettlementReadOnlyAccess:具有月账单的查看权限 | |
操作级 | - | ContactFullAccess:提供消息接收人管理和站内信管理的全部功能 | |
操作级 | - | BillFullAccess:通过OpenAPI获取账单数据权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | KLSConsoleFullAccess:提供视频云直播控制台的全部权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
操作级 | - | RabbitMQFullAccess:包括消息队列RabbitMQ产品全部权限、以及查询主机/物理主机列表、VPC列表和子网列表的权限 |
云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
服务级 | - | KASMFullAccess:提供应用服务网格全部权限 |
纯净模式
