简介
访问控制(IAM)已支持对多数金山云产品服务进行权限管理,本文罗列了目前已与访问控制集成的服务,并提供每个服务支持的授权粒度、是否支持根据标签进行授权、系统策略等。
每个表格包含以下信息:
-
服务:支持访问控制的云服务名称,单击链接至对应的产品服务文档。
-
授权粒度: 当前服务提供的最小授权粒度。
说明:其中授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级: 将云服务作为一个整体进行授权。一个IAM用户只能处于对这个产品拥有所有权限和没有任何权限两种状态。
- 操作级: API级别的授权。一个IAM用户可以对指定云服务的某类资源执行某几个指定的操作。 例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度.例如: 权一个IAM用户仅可对某一台云服务器进行重启操作。
-
根据标签进行授权:当前服务是否支持通过标签进行权限管理,“✓”表示支持,“-”表示暂不支持。
-
系统策略:当前云服务支持的系统策略,“-”表示暂无。
计算
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 云服务器 | 资源级 | √ | KECAdminFullAccess:提供云主机全部操作管理的权限 KECFullAccess:提供云主机生命周期管理及映像管理的全部管理权限 KECReadOnlyAccess:提供云主机查询管理权限 KFSFullAccess:提供文件存储生命周期管理及映像管理的全部管理权限 KFSReadOnlyAccess:提供文件存储查询管理权限 |
| 云物理主机 | 操作级 | √ | EPCFullAccess:提供云物理主机功能全部管理权限 EPCReadOnlyAccess:提供云物理主机查询管理权限 |
| 容器实例 | 操作级 | - | KCIFullAccess:容器实例完整操作权限 KCIReadOnlyAccess:容器实例只读权限 |
| 金山云容器引擎 | 操作级 | - | KCEFullAccess:容器完整操作权限(含主机,网络,负载均衡,裸金属服务器,云盘) KCEReadOnlyAccess:容器只读权限 |
| 大米云主机 | 操作级 | - | - |
网络
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 负载均衡 | 资源级 | √ | SLBConsoleFullAccess:提供负载均衡和EIP控制台全部管理权限 SLBConsoleReadOnlyAccess:提供负载均衡控制台查询功能全部管理权限 SLBFullAccess:提供负载均衡全部openAPI功能管理权限 SLBReadOnlyAccess:提供负载均衡查询openAPI的管理权限 |
| 虚拟私有网络 | 资源级 | - | VPCConsoleFullAccess:提供虚拟专有网络和EIP控制台功能全部管理权限 VPCConsoleReadOnlyAccess:提供虚拟专有网络控制台查询功能全部管理权限 VPCFullAccess:提供虚拟专有网络全部openAPI接口管理权限 VPCReadOnlyAccess:提供虚拟专有网络查询openAPI接口管理权限 |
| 弹性ip | 资源级 | √ | EIPConsoleFullAccess:提供弹性IP控制台功能全部管理权限 EIPConsoleReadOnlyAccess:提供弹性IP控制台查询功能全部管理权限 EIPFullAccess:提供弹性IP全部openAPI接口管理权限 EIPReadOnlyAccess:提供弹性IP查询openAPI接口管理权限 |
| 共享带宽 | 资源级 | - | BWSConsoleFullAccess:提供共享带宽控制台功能全部管理权限 BWSConsoleReadOnlyAccess:提供共享带宽控制台查询功能全部管理权限 BWSFullAccess:提供共享带宽全部openAPI接口管理权限 BWSReadOnlyAccess:提供共享带宽查询openAPI接口管理权限 |
数据库
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 云数据库KRDS | 资源级 | √ | KRDSConsoleFullAccess:控制台完整权限。包括关系型数据库产品全部权限、以及查询主机列表、VPC列表和子网列表的权限,tag服务的操作权限,支付权限。 KRDSFullAccess:包括关系型数据库全部openAPI功能的权限 KRDSReadAccess:提供KRDS实例的只读权限 KRDSReadAccess-NoneData:控制台部分只读权限。包括关系型数据库产品的实例、参数组、安全组、日志权限。不包括备份页面的读取权限。 |
| 云数据库redis | 资源级 | √ | KCSConsoleFullAccess:包括云数据库Redis产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 KCSFullAccess:包括云数据库Redis产品全部openAPI功能的权限 KCSReadAccess:提供只读权限 |
| 云数据库MongoDB | 操作级 | - | MongoDBConsoleFullAccess:包括MongoDB型数据库产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 MongoDBReadAccess:只读权限 |
| 分布式数据库 | 操作级 | - | - |
| 云数据库Memcached | 操作级 | √ | MemcachedConsoleFullAccess:包括云数据库Memcached产品全部权限、以及查询主机列表、VPC列表和子网列表的权限 MemcachedFullAccess:包括云数据库Memcached全部openAPI功能的权限 MemcachedReadAccess:只读权限 |
| 分布式事务服务 | 操作级 | - | - |
| 云原生数据库KingDB | 操作级 | - | - |
| 时序数据库InfluxDB | 操作级 | - | InfluxDBFullAccess:包括时序数据库InfluxDB产品全部权限、以及查询主机/云物理主机列表、VPC列表和子网列表的权限 InfluxDBReadAccess:包括时序数据库InfluxDB产品只读权限、以及查询主机/云物理主机列表、VPC列表和子网列表的权限 |
| 数据传输服务 | 操作级 | - | DTSFullAccess:提供RDS控制台数据迁移服务全部管理权限 |
| 云数据库PostgreSQL | 操作级 | - | PostgreSQLFullAccess:PostgreSQL产品线全部策略,包括PostgreSQL产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag全部权限 PostgreSQLReadOnlyAccess:PostgreSQL产品线只读策略,包括PostgreSQL产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag查询权限 |
| 云数据库sqlserver | 操作级 | - | SQLServerFullAccess:SQLServer产品线全部策略,包括SQLServer产品线全部权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag全部权限 SQLServerReadOnlyAccess:SQLServer产品线只读策略,包括SQLServer产品线的只读权限,云主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限,tag查询权限 |
存储与CDN
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 内容分发网络 | 资源级 | - | CDNFullAccess:提供CDN功能全部管理权限 CDNReadOnlyAccess:提供CDN功能查询管理权限 |
| 对象存储 | 资源级 | - | KS3FullAccess:提供金山云对象存储的全部管理权限 KS3ReadOnlyAccess:提供金山云对象存储的只读权限 |
| 云硬盘 | 操作级 | √ | EBSFullAccess:提供EBS硬盘功能全部管理权限 EBSReadOnlyAccess:提供EBS硬盘信息查询管理权限 |
| 金山云边缘计算 | 操作级 | - | - |
| 高性能文件存储 | 资源级 | - | KPFSFullAccess:提供金山云文件存储KPFS的全部管理权限 KPFSReadOnlyAccess:提供金山云文件存储KPFS的查询管理权限 |
视频服务
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 云转码 | 操作级 | - | KETFullAccess:提供云直播转码全部OpenAPI接口管理权限 KETReadOnlyAccess:提供云直播转码查询OpenAPI接口管理权限 |
| 云直播 | 操作级 | - | KLSConsoleFullAccess:提供视频云直播控制台的全部权限 KLSConsoleReadOnlyAccess:提供视频云直播控制台的查询权限 KLSFullAccess:提供云直播全部OpenAPI接口管理权限 KLSReadOnlyAccess:提供云直播查询OpenAPI接口管理权限 |
| 金山云魔镜 | 操作级 | - | - |
大数据
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 托管Hadoop集群 | 操作级 | - | KMRFullAccess:提供KMR所有操作的权限 |
| 大数据云平台 | 操作级 | - | - |
| 查询引擎服务 | 操作级 | - | KQESFullAccess:提供查询引擎服务权限 |
| Elasticsearch服务 | 操作级 | - | KESFULLAcess:提供KES操作全部权限 |
| HBase服务 | 操作级 | - | KHBaseFULLAcess:提供KHBase操作全部权限 |
| 日志服务 | 操作级 | - | KlogReadOnlyAccess:- KsyunKLogDefaultPolicy:- |
云安全
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 高防IP | 操作级 | - | KADFullAccess:提供高防IP产品全部管理权限 |
| 高防防护包 | 操作级 | - | KEADFullAccess:提供高防弹性IP产品全部管理权限 KEADReadOnlyAccess:提供高防弹性IP产品只读权限 |
| 服务器安全 | 服务级 | - | KHSFullAccess:提供服务器安全产品全部管理权限 |
| 服务器安全-内部新版 | 操作级 | - | KhsNewFullAccess:主机安全新版全部权限 KhsNewReadOnly:主机安全新版只读权限 |
| 漏洞扫描 | 服务级 | - | KSIFullAccess:提供漏洞扫描服务全部管理权限 |
| Web应用防火墙 | 操作级 | - | WAFFullAccess:提供web防火墙产品全部管理权限 |
| 安全服务 | 服务级 | - | KASFullAccess:提供安全服务产品全部管理权限 |
| 密钥管理服务 | 操作级 | - | KKMSConsoleFullAccess:提供密钥管理服务控制台功能全部管理权限 KKMSConsoleReadOnlyAccess:提供密钥管理服务控制台查询功能全部管理权限 |
| 证书管理 | 操作级 | - | KCMFullAccess:提供证书管理产品全部管理权限 KCMReadOnlyAccess:提供证书管理产品查询权限 |
| 云安全管理中心 | 操作级 | - | KSMFullAccess:提供云安全管理中心产品全部管理权限 KSMReadOnlyAccess:提供云安全管理中心产品只读权限 |
| 业务风险情报 | 操作级 | - | BRIFullAccess:提供业务风险情报管理权限 |
| 渗透测试 | 服务级 | - | KPTFullAccess:提供渗透测试管理权限 |
云通信
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 短信控制台 | 操作级 | - | SmsFullAccess:提供短信控制台功能的全部管理权限 SmsReadOnlyAccess:提供短信控制台查询功能全部管理权限 |
| 短信网关 | 操作级 | - | - |
| 语音消息 | 操作级 | - | VoiceConsoleFullAccess:提供语音控制台功能的全部管理权限 |
| 语音消息网关短信网关 | 操作级操作级 | – | VoiceFullAccess:提供语音消息发送功能的全部权限- |
| 号码认证api | 操作级 | - | OnePassApiAll:拥有号码认证全部权限 OnePassApiOnlyRead:号码认证只读权限 |
| 号码认证网关 | 操作级 | - | OnepassGateWayAll:号码认证网关全部权限 |
开发与运维
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 云监控 | 操作级 | - | MonitorFullAccess:提供云监控openAPI全部管理权限 MonitorReadOnlyAccess:提供云监控openAPI只读管理权限 |
| 消息队列RabbitMQ | 操作级 | - | RabbitMQFullAccess:包括消息队列RabbitMQ产品全部权限、以及查询主机/物理主机列表、VPC列表和子网列表的权限 RabbitMQReadAccess:消息队列RabbitMQ产品线只读策略,包括RabbitMQ产品线的只读权限,云主机/云物理主机产品线的列表权限,虚拟私有网络的Vpc和子网列表权限 |
| 企业效能平台 | 操作级 | - | KDFFullAccess:提供企业效能平台KDF的所有管理功能 |
| api网关 | 操作级 | - | - |
| 微服务引擎 | 操作级 | - | - |
人工智能
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 人工智能开发平台 | 操作级 | - | - |
企业应用
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 云游戏 | 操作级 | - | KCGFullAccess:提供云游戏全部openAPI接口管理权限 |
管理与审计
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 操作审计 | 操作级 | - | ActionTrailFullAccess:提供查询审计记录的权限 |
| 访问控制 | 资源级 | - | BindVirtualMFADevice:子用户绑定虚拟MFA设备具有的权限 IAMChangePasswd:允许子用户修改自己的密码 IAMFullAccess:提供IAM功能的全部管理权限 IAMReadOnlyAccess:提供IAM查询管理权限 MFAmodifyAccess:允许用户管理MFA STSAssumeRoleAccess:提供STS服务AssumeRole接口的权限 |
| 标签v2 | 操作级 | - | TAGFullAccess:标签(TAG)全读写访问 TAGReadOnlyAccess:标签(TAG)只读访问权限 |
合作与生态
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 代理商 | 操作级 | - | AGENTFullAccess:提供代理商管理的全部权限 ZAGENTDistributionAdminAccess:分销管理员权限 ZAGENTDistributionCustomerAccess:分销客户权限 ZAGENTDistributionFinanceAccess:分销财务权限 |
用户中心
| 云服务 | 授权级别 | 根据标签进行授权 | 系统策略 |
|---|---|---|---|
| 财务 | 操作级 | - | OrderReadOnlyAccess:财务只读权限 PayOrderAccess:订单支付权限 TradeAccountAccess:提供“费用中心-账户总览”页面的全部权限 TradeAccountAccess&CloudTicket:具备账户总览和云票模块的所有权限 TradeCouponsAccess:提供 “费用中心-现金券”页面的全部权限 TradeFullAccess:具有财务全部管理权限 TradeInvoiceManagementAccess:提供“费用中心-发票管理”页面的全部权限 TradeSettlementConfirmAccess:提供确认月结算单的权限 TradeSettlementFeedbackAccess:提供对月结算单进行问题反馈的权限 TradeSettlementReadOnlyAccess:提供查看月结算单的权限 |
| 联系人管理 | 操作级 | - | ContactFullAccess:提供消息接收人管理和站内信管理的全部功能 SMSInMailReadOnlyAccess:提供站内信的只读权限 SMSReceiveReadOnlyAccess:提供消息接收人管理的只读权限 |
| 实时付费 | 操作级 | - | - |
| 统一账单 | 操作级 | - | - |
| 账单 | 操作级 | - | BillFullAccess:通过OpenAPI获取账单数据权限 |
文档内容是否对您有帮助?
根本没帮助
文档较差
文档一般
文档不错
文档很好
在文档使用中是否遇到以下问题
内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长
更多建议
0/200
评价建议不能为空
提交成功!
非常感谢您的反馈,我们会继续努力做到更好!