操作流程 图1 给用户授权RDS权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时，除了需要配置“RDS ReadOnlyAccess”权限外，还需要配置对应服务的权限。 例如：使用控制台连接实例时，除了需要配置“RDS ReadOnlyAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云数据库RDS，进入RDS主界面，单击右上角“购买关系型数据库”，尝试购买关系型数据库，如果无法购买关系型数据库（假设当前权限仅包含RDS ReadOnlyAccess），表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库RDS外（假设当前策略仅包含RDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“RDS ReadOnlyAccess”已生效。

场景举例 某互联网公司，主要有游戏和音乐两大业务，使用 DLI 服务进行用户行为分析，辅助决策。 如图1所示，“基础平台组组长”在华为云上申请了一个“租户管理员”（Tenant Administrator）账号，用于管理和使用华为云的各个服务。因为“大数据平台组”需要使用DLI进行数据分析，所有“基础平台组组长”增加了一个权限为“DLI服务管理员”（DLI Service Administrator）的子账号用于管理和使用DLI服务。“基础平台组组长”按照公司两个业务对于数据分析的要求，创建了“队列A”分配给“数据工程师A”运行游戏数据分析业务，“队列B”分配给“数据工程师B”运行音乐数据分析业务，并分别赋予“DLI普通用户”权限，具有队列使用权限，数据（除数据库）的管理和使用权限。 图1 权限分配 “数据工程师A”创建了一个gameTable表用于存放游戏道具相关数据，userTable表用于存放游戏用户相关数据。因为音乐业务是一个新业务，想在存量的游戏用户中挖掘一些潜在的音乐用户，所以“数据工程师A”把userTable表的查询权限赋给了“数据工程师B”。同时，“数据工程师B”创建了一个musicTable用于存放音乐版权相关数据。 “数据工程师A”和“数据工程师B”对于队列和数据的使用权限如表3所示。 表3 使用权限说明 用户 数据工程师A（游戏数据分析） 数据工程师B（音乐数据分析） 队列 队列A（队列使用权限） 队列B（队列使用权限） 数据（表） gameTable（表管理和使用权限） musicTable（表管理和使用权限） userTable（表管理和使用权限） userTable（表查询权限） 队列的使用权限包括提交作业和终止作业两个权限。

DLI权限分类 DLI服务权限分类如表2所示，其可控制的资源请参考表4。 表2 DLI权限分类 权限大类 权限小类 控制台操作 SQL语法 队列权限 队列管理权限 请参考队列权限管理 无 队列使用权限 数据权限 数据库权限 请参考在DLI控制台配置数据库权限和在DLI控制台配置表权限 请参考 《权限列表》。 表权限 列权限 作业权限 Flink作业 请参考配置Flink作业权限 无 程序包权限 程序包组权限 请参考配置程序包权限 无 程序包权限 跨源认证权限 跨源认证权限 请参考跨源认证权限管理 无

IAM鉴权使用场景 企业用户在华为云上使用DLI服务时，需要对不同部门的员工使用DLI资源（队列）进行管理，包括资源的创建、删除、使用、隔离等。同时，也需要对不同部门的数据进行管理，包括数据的隔离、共享等。 DLI使用IAM进行精细的企业级多租户管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 如果华为云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。

DLI系统权限 如表1所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 了解DLI SQL常用操作与系统策略的授权关系，请参考常用操作与系统权限关系。 表1 DLI系统权限 系统角色/策略名称 描述 类别 依赖关系 DLI FullAccess 数据湖探索 所有权限。 系统策略 该角色有依赖，需要在同项目中勾选依赖的角色： 创建跨源连接：VPC ReadOnlyAccess 创建包年/包月资源：BSS Administrator 创建标签：TMS FullAccess、EPS EPS FullAccess 使用OBS存储：OBS OperateAccess 创建委托：Security Administrator DLI ReadOnlyAccess 数据湖 探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 无 Tenant Administrator 租户管理员。 操作权限：具有数据湖探索服务资源的所有执行权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 无 DLI Service Administrator 数据湖探索管理员。 操作权限：具有数据湖探索服务资源的所有执行权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 无 具体的授权方式请参考创建IAM用户并授权使用DLI以及《如何创建子用户》和《如何修改用户策略》。

LakeFormation服务权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM项目只读授权指导：当租户管理员需要给某个子用户分配LakeFormation服务在某个IAM项目下的只读权限。可以给该用户创建一个用户组，同时在用户组将LakeFormation ReadOnlyAccess系统策略授权给指定IAM项目即可。 企业项目授权指导：当租户管理员需要给某个子用户分配LakeFormation服务在某个企业项目下的所有操作权限。可以给该用户创建一个用户组，同时在用户组中将LakeFormation CommonAccess授权给全局，将LakeFormation FullAccess授权给指定企业项目即可。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分，LakeFormation的自定义IAM策略操作可参考创建LakeFormation自定义IAM策略。 表1 LakeFormation系统策略 系统角色/策略名称 描述 类别 依赖关系 LakeFormation FullAccess LakeFormation管理员权限，拥有该权限的用户可以操作并使用所有LakeFormation服务功能。 系统策略 IAM AgencyFullAccess OBS OperateAccess VPC FullAccess VPCEndpoint FullAccess LakeFormation ReadOnlyAccess LakeFormation只读权限，拥有该权限的用户可以执行LakeFormation所有查询类功能。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC ReadOnlyAccess VPCEndpoint ReadOnlyAccess LakeFormation CommonOperations LakeFormation基础权限，包含LakeFormation服务协议查看/授权/取消，以及OBS、TMS等周边依赖服务的基础权限集合。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC FullAccess VPCEndpoint FullAccess 表2 LakeFormation的IAM权限列表 操作类型 操作项 描述 只读 lakeformation:access:describe 查询接入客户端。 lakeformation:accessAgency:describe 查询接入委托信息。 lakeformation:accessService:describe 查看接入服务。 lakeformation:agency:describe 查询委托。 lakeformation:agreement:describe 查询服务协议授权。 lakeformation:catalog:describe 查询Catalog元数据。 lakeformation:configuration:describe 查询配置。 lakeformation:credential:describe 查询认证信息。 lakeformation:database:describe 查询数据库元数据。 lakeformation:dataset:describe 查询数据集元数据。 lakeformation:dataset:describeFile 查询数据集文件元数据。 lakeformation:dataset:describeFileGroup 查询数据集文件组元数据。 lakeformation:function:describe 查询函数元数据。 lakeformation:group:describe 查询用户组信息。 lakeformation:instance:describe 查询实例。 lakeformation:instance:listAuthorizedLocation 查询授权资源。 lakeformation:instanceJob:describe 查询任务。 lakeformation:model:describe 查询模型元数据。 lakeformation:model:describeFile 查询模型文件元数据。 lakeformation:obs:describe 查询OBS桶列表。 lakeformation:policy:describe 查询权限策略。 lakeformation:policy:export 批量查询权限策略。 lakeformation:role:describe 查询角色。 lakeformation:table:describe 查询表元数据。 lakeformation:tableFileGroup:describe 查询表文件组元数据。 lakeformation:tag:describe 查询资源标签。 lakeformation:user:describe 查询用户以及关联角色关系。 写 lakeformation:access:create 创建接入客户端。 lakeformation:access:delete 删除接入客户端。 lakeformation:agency:create 创建委托。 lakeformation:agency:drop 删除委托。 lakeformation:catalog:alter 修改Catalog元数据。 lakeformation:catalog:create 创建Catalog元数据。 lakeformation:catalog:drop 删除Catalog元数据。 lakeformation:database:alter 修改数据库元数据。 lakeformation:database:create 创建数据库元数据。 lakeformation:database:drop 删除数据库元数据。 lakeformation:dataset:alter 修改数据集元数据。 lakeformation:dataset:alterFile 修改数据集文件元数据。 lakeformation:dataset:alterFileGroup 修改数据集文件组元数据。 lakeformation:dataset:create 创建数据集元数据。 lakeformation:dataset:createFile 创建数据集文件元数据。 lakeformation:dataset:createFileGroup 创建数据集文件组元数据。 lakeformation:dataset:drop 删除数据集元数据。 lakeformation:dataset:dropFile 删除数据集文件元数据。 lakeformation:dataset:dropFileGroup 删除数据集文件组元数据。 lakeformation:function:alter 修改函数元数据。 lakeformation:function:create 创建函数元数据 lakeformation:function:drop 删除函数元数据。 lakeformation:group:alter 修改用户组信息。 lakeformation:instance:access 申请接入服务。 lakeformation:instance:alter 修改实例。 lakeformation:instance:create 创建实例。 lakeformation:instance:drop 删除实例。 lakeformation:instanceJob:alter 修改任务。 lakeformation:instanceJob:create 创建任务。 lakeformation:instanceJob:drop 删除任务。 lakeformation:instanceJob:exec 执行任务。 lakeformation:model:alter 修改模型元数据。 lakeformation:model:alterFile 修改模型文件元数据。 lakeformation:model:create 创建模型元数据。 lakeformation:model:createFile 创建模型文件元数据。 lakeformation:model:drop 删除模型元数据。 lakeformation:model:dropFile 删除模型文件元数据。 lakeformation:policy:create 创建权限策略。 lakeformation:policy:drop 删除权限策略。 lakeformation:role:alter 修改角色。 lakeformation:role:create 创建角色。 lakeformation:role:drop 删除角色。 lakeformation:table:alter 修改表元数据。 lakeformation:table:create 创建表元数据。 lakeformation:table:drop 删除表元数据。 lakeformation:tableFileGroup:create 创建表文件组元数据。 lakeformation:tableFileGroup:drop 删除表文件组元数据。 lakeformation:transaction:operate 操作事务。 lakeformation:user:alter 修改用户以及关联角色关系。 权限管理 lakeformation:accessService:grant 授权接入服务。 lakeformation:accessTenant:grant 授权接入租户。 lakeformation:agreement:cancel 取消服务协议授权。 lakeformation:agreement:grant 授权服务协议授权。 lakeformation:instance:authorizeLocation 授权OBS路径。 lakeformation:instance:cancelAuthorizeLocation 取消授权OBS路径。

操作流程 图1 给用户授权LakeFormation权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予LakeFormation服务对应权限。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 以新创建的用户登录云服务控制台，切换至授权区域，验证权限是否生效。 例如： 在“服务列表”中选择LakeFormation服务，进入总览界面，单击右上角“购买实例”，实例创建界面正常展示，表示“lakeformation:role:create”权限已生效。

OCR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 OCR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问OCR时，需要先切换至授权区域。 如表1所示，包括了OCR的所有系统角色。 表1 OCR系统策略 策略名称 描述 策略类型 依赖关系 OCR FullAccess 所有权限 系统策略 无 OCR ReadOnlyAccess 只读访问权限 系统策略 无 表2列出了OCR常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 OCR操作与系统策略关系 Action Action说明 OCR FullAccess OCR ReadOnlyAccess ocr:financialStatement:subscribe 开通财报识别服务 √ × ocr:financialStatement:unsubscribe 取消开通财报识别服务 √ × ocr:financialStatement:getSubscribeUserList 查询开通财报识别的用户列表 √ √ ocr:financialStatement:subscribeAllUsers 为其余子用户开通财报识别服务 √ × ocr:financialStatement:unsubscribeAllUsers 为其余子用户取消开通财报识别服务 √ × ocr:autoClassification:subscribe 开通智能分类识别服务 √ × ocr:autoClassification:unsubscribe 取消开通智能分类识别服务 √ × ocr:autoClassification:getSubscribeUserList 查询开通智能分类识别的用户列表 √ √ ocr:autoClassification:subscribeAllUsers 为其余子用户开通智能分类识别服务 √ × ocr:autoClassification:unsubscribeAllUsers 为其余子用户取消开通智能分类识别服务 √ × ocr:idCard:subscribe 开通身份证识别服务 √ × ocr:idCard:unsubscribe 取消开通身份证识别服务 √ × ocr:idCard:getSubscribeUserList 查询开通身份证识别的用户列表 √ √ ocr:idCard:subscribeAllUsers 为其余子用户开通身份证识别服务 √ × ocr:idCard:unsubscribeAllUsers 为其余子用户取消开通身份证识别服务 √ × ocr:driverLicense:subscribe 开通驾驶证识别服务 √ × ocr:driverLicense:unsubscribe 取消开通驾驶证识别服务 √ × ocr:driverLicense:getSubscribeUserList 查询开通驾驶证识别的用户列表 √ √ ocr:driverLicense:subscribeAllUsers 为其余子用户开通驾驶证识别服务 √ × ocr:driverLicense:unsubscribeAllUsers 为其余子用户取消开通驾驶证识别服务 √ × ocr:vehicleLicense:subscribe 开通 行驶证识别 服务 √ × ocr:vehicleLicense:unsubscribe 取消开通行驶证识别服务 √ × ocr:vehicleLicense:getSubscribeUserList 查询开通行驶证识别的用户列表 √ √ ocr:vehicleLicense:subscribeAllUsers 为其余子用户开通行驶证识别服务 √ × ocr:vehicleLicense:unsubscribeAllUsers 为其余子用户取消开通行驶证识别服务 √ × ocr:vatInvoice:subscribe 开通增值税发票识别服务 √ × ocr:vatInvoice:unsubscribe 取消开通增值税发票识别服务 √ × ocr:vatInvoice:getSubscribeUserList 查询开通增值税发票识别的用户列表 √ √ ocr:vatInvoice:subscribeAllUsers 为其余子用户开通增值税发票识别服务 √ × ocr:vatInvoice:unsubscribeAllUsers 为其余子用户取消开通增值税发票识别服务 √ × ocr:invoiceVerification:subscribe 开通发票验真服务 √ × ocr:invoiceVerification:unsubscribe 取消开通发票验真服务 √ × ocr:invoiceVerification:getSubscribeUserList 查询开通发票验真的用户列表 √ √ ocr:invoiceVerification:subscribeAllUsers 为其余子用户开通发票验真服务 √ × ocr:invoiceVerification:unsubscribeAllUsers 为其余子用户取消开通发票验真服务 √ × ocr:mvsInvoice:subscribe 开通机动车销售发票识别服务 √ × ocr:mvsInvoice:unsubscribe 取消开通机动车销售发票识别服务 √ × ocr:mvsInvoice:getSubscribeUserList 查询开通机动车销售发票识别的用户列表 √ √ ocr:mvsInvoice:subscribeAllUsers 为其余子用户开通机动车销售发票识别服务 √ × ocr:mvsInvoice:unsubscribeAllUsers 为其余子用户取消开通机动车销售发票识别服务 √ × ocr:generalText:subscribe 开通 通用文字识别 服务 √ × ocr:generalText:unsubscribe 取消开通通用 文字识别 服务 √ × ocr:generalText:getSubscribeUserList 查询开通通用文字识别的用户列表 √ √ ocr:generalText:subscribeAllUsers 为其余子用户开通通用文字识别服务 √ × ocr:generalText:unsubscribeAllUsers 为其余子用户取消开通通用文字识别服务 √ × ocr:generalTable:subscribe 开通通用 表格识别 服务 √ × ocr:generalTable:unsubscribe 取消开通通用表格识别服务 √ × ocr:generalTable:getSubscribeUserList 查询开通通用表格识别的用户列表 √ √ ocr:generalTable:subscribeAllUsers 为其余子用户开通通用表格识别服务 √ × ocr:generalTable:unsubscribeAllUsers 为其余子用户取消开通通用表格识别服务 √ × ocr:tollInvoice:subscribe 开通车辆通行费发票识别服务 √ × ocr:tollInvoice:unsubscribe 取消开通车辆通行费发票识别服务 √ × ocr:tollInvoice:getSubscribeUserList 查询开通车辆通行费发票识别的用户列表 √ √ ocr:tollInvoice:subscribeAllUsers 为其余子用户开通车辆通行费发票识别服务 √ × ocr:tollInvoice:unsubscribeAllUsers 为其余子用户取消开通车辆通行费发票识别服务 √ × ocr:quotaInvoice:subscribe 开通定额发票识别服务 √ × ocr:quotaInvoice:unsubscribe 取消开通定额发票识别服务 √ × ocr:quotaInvoice:getSubscribeUserList 查询开通定额发票识别的用户列表 √ √ ocr:quotaInvoice:subscribeAllUsers 为其余子用户开通定额发票识别服务 √ × ocr:quotaInvoice:unsubscribeAllUsers 为其余子用户取消开通定额发票识别服务 √ × ocr:flightItinerary:subscribe 开通飞机行程单识别服务 √ × ocr:flightItinerary:unsubscribe 取消开通飞机行程单识别服务 √ × ocr:flightItinerary:getSubscribeUserList 查询开通飞机行程单识别的用户列表 √ √ ocr:flightItinerary:subscribeAllUsers 为其余子用户开通飞机行程单识别服务 √ × ocr:flightItinerary:unsubscribeAllUsers 为其余子用户取消开通飞机行程单识别服务 √ × ocr:taxiInvoice:subscribe 开通出租车发票识别服务 √ × ocr:taxiInvoice:unsubscribe 取消开通出租车发票识别服务 √ × ocr:taxiInvoice:getSubscribeUserList 查询开通出租车发票识别的用户列表 √ √ ocr:taxiInvoice:subscribeAllUsers 为其余子用户开通出租车发票识别服务 √ × ocr:taxiInvoice:unsubscribeAllUsers 为其余子用户取消开通出租车发票识别服务 √ × ocr:trainTicket:subscribe 开通火车票识别服务 √ × ocr:trainTicket:unsubscribe 取消开通火车票识别服务 √ × ocr:trainTicket:getSubscribeUserList 查询开通火车票识别的用户列表 √ √ ocr:trainTicket:subscribeAllUsers 为其余子用户开通火车票识别服务 √ × ocr:trainTicket:unsubscribeAllUsers 为其余子用户取消开通火车票识别服务 √ × ocr:bankCard:subscribe 开通银行卡识别服务 √ × ocr:bankCard:unsubscribe 取消开通银行卡识别服务 √ × ocr:bankCard:getSubscribeUserList 查询开通银行卡识别的用户列表 √ √ ocr:bankCard:subscribeAllUsers 为其余子用户开通银行卡识别服务 √ × ocr:bankCard:unsubscribeAllUsers 为其余子用户取消开通银行卡识别服务 √ × ocr:passport:subscribe 开通护照识别服务 √ × ocr:passport:unsubscribe 取消开通护照识别服务 √ × ocr:passport:getSubscribeUserList 查询开通护照识别的用户列表 √ √ ocr:passport:subscribeAllUsers 为其余子用户开通护照识别服务 √ × ocr:passport:unsubscribeAllUsers 为其余子用户取消开通护照识别服务 √ × ocr:transportationLicense:subscribe 开通道路运输证识别服务 √ × ocr:transportationLicense:unsubscribe 取消开通道路运输证识别服务 √ × ocr:transportationLicense:getSubscribeUserList 查询开通道路运输证识别的用户列表 √ √ ocr:transportationLicense:subscribeAllUsers 为其余子用户开通道路运输证识别服务 √ × ocr:transportationLicense:unsubscribeAllUsers 为其余子用户取消开通道路运输证识别服务 √ × ocr:businessLicense:subscribe 开通营业执照识别服务 √ × ocr:businessLicense:unsubscribe 取消开通营业执照识别服务 √ × ocr:businessLicense:getSubscribeUserList 查询开通营业执照识别的用户列表 √ √ ocr:businessLicense:subscribeAllUsers 为其余子用户开通营业执照识别服务 √ × ocr:businessLicense:unsubscribeAllUsers 为其余子用户取消开通营业执照识别服务 √ × ocr:licensePlate:subscribe 开通车牌识别服务 √ × ocr:licensePlate:unsubscribe 取消开通车牌识别服务 √ × ocr:licensePlate:getSubscribeUserList 查询开通车牌识别的用户列表 √ √ ocr:licensePlate:subscribeAllUsers 为其余子用户开通车牌识别服务 √ × ocr:licensePlate:unsubscribeAllUsers 为其余子用户取消开通车牌识别服务 √ × ocr:webImage:subscribe 开通网络图片识别服务 √ × ocr:webImage:unsubscribe 取消开通网络图片识别服务 √ × ocr:webImage:getSubscribeUserList 查询开通网络图片识别的用户列表 √ √ ocr:webImage:subscribeAllUsers 为其余子用户开通网络图片识别服务 √ × ocr:webImage:unsubscribeAllUsers 为其余子用户取消开通网络图片识别服务 √ × ocr:handwriting:subscribe 开通手写文字识别服务 √ × ocr:handwriting:unsubscribe 取消开通手写文字识别服务 √ × ocr:handwriting:getSubscribeUserList 查询开通手写文字识别的用户列表 √ √ ocr:handwriting:subscribeAllUsers 为其余子用户开通手写文字识别服务 √ × ocr:handwriting:unsubscribeAllUsers 为其余子用户取消开通手写文字识别服务 √ × ocr:vin:subscribe 开通vin码识别服务 √ × ocr:vin:unsubscribe 取消开通vin码识别服务 √ × ocr:vin:getSubscribeUserList 查询开通vin码识别的用户列表 √ √ ocr:vin:subscribeAllUsers 为其余子用户开通vin码识别服务 √ × ocr:vin:unsubscribeAllUsers 为其余子用户取消开通vin码识别服务 √ × ocr:businessCard:subscribe 开通名片识别服务 √ × ocr:businessCard:unsubscribe 取消开通名片识别服务 √ × ocr:businessCard:getSubscribeUserList 查询开通名片识别的用户列表 √ √ ocr:businessCard:subscribeAllUsers 为其余子用户开通名片识别服务 √ × ocr:businessCard:unsubscribeAllUsers 为其余子用户取消开通名片识别服务 √ × ocr:insurancePolicy:subscribe 开通保险单识别服务 √ × ocr:insurancePolicy:unsubscribe 取消开通保险单识别服务 √ × ocr:insurancePolicy:getSubscribeUserList 查询开通保险单识别的用户列表 √ √ ocr:insurancePolicy:subscribeAllUsers 为其余子用户开通保险单识别服务 √ × ocr:insurancePolicy:unsubscribeAllUsers 为其余子用户取消开通保险单识别服务 √ × ocr:transportationQualificationCertificate:subscribe 开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:unsubscribe 取消开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:getSubscribeUserList 查询开通道路运输从业资格证的用户列表 √ √ ocr:transportationQualificationCertificate:subscribeAllUsers 为其余子用户开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:unsubscribeAllUsers 为其余子用户取消开通道路运输从业资格证服务 √ ×

MgC FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:*", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas"， "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }

MgC DiscoveryAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery" ] } ] }

MgC AssessAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas"， "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }

MgC MrrAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:mrr:query", "mgc:mrr:update", "mgc:mrr:export", "mgc:mrr:import", "mgc:mrr:upgrade", "mgc:mrr:delete", "mgc:mrr:check" ], "Effect": "Allow" } ] } } }

MgC MigrateAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "mgc:*:migrate", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas"， "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }

MgC AppDiscoveryAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:appdiscovery" ] } ] }

示例流程 图1 给用户授权MgC权限流程 创建用户组并授权 系统策略：在IAM控制台创建用户组，并根据MgC系统策略说明以及实际的权限要求，为用户组授权MgC系统策略，授权范围方案选择“所有资源”。 表1 MgC系统策略说明 策略名称 描述 策略类别 策略内容 MgC FullAccess 迁移中心管理员权限，拥有操作MgC的所有权限。 系统策略 MgC FullAccess策略内容 MgC ReadOnlyAccess 迁移中心只读权限，仅能查看MgC资源，无法进行操作。 系统策略 MgC ReadOnlyAccess策略内容 MgC DiscoveryAccess 迁移中心资源发现操作权限，拥有操作资源发现功能的权限和只读权限。 系统策略 MgC DiscoveryAccess策略内容 MgC AssessAccesss 迁移中心评估操作权限，拥有操作评估功能、资源发现功能的权限和只读权限。 系统策略 MgC AssessAccesss策略内容 MgC MigrateAccess 迁移中心迁移操作权限，拥有操作迁移功能、评估功能、资源发现功能的权限和只读权限。 系统策略 MgC MigrateAccess策略内容 MgC AppDiscoveryAccess 迁移中心应用发现操作权限，拥有操作应用发现功能、资源发现功能的权限和只读权限。 系统策略 MgC AppDiscoveryAccess策略内容 MgC MrrAccess 迁移中心业务验证操作权限，拥有业务验证功能的权限和只读权限。 系统策略 MgC MrrAccess策略内容 自定义策略：如果IAM用户只需要拥有迁移中心 MgC部分操作权限，则使用自定义策略，参见MgC自定义策略。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1.创建用户组并授权中创建的用户组。 当IAM用户首次使用MgC的特定功能时，需要通过以下两种方式授予委托权限： 推荐方式：请管理员登录MgC控制台，进入相关功能界面，同意相关委托权限。 备选方式：请管理员登录“ 统一身份认证 服务 IAM”服务，为当前IAM用户配置创建委托所需的权限，确保其拥有MgC相关系统策略以及"iam:agencies:createAgency"、"iam:permissions:grantRoleToAgency"、"iam:roles:createRole"和"iam:roles:updateRole"的权限。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择迁移中心 MgC，进入MgC主界面，根据您授予的权限可以进行对应操作，表示授予的权限已生效。 在“服务列表”中选择除迁移中心 MgC外的任一服务，若提示权限不足，表示授予的权限已生效。