云服务器内容精选

  • 响应示例 状态码为 200 时: 请求成功。 { "roles": [ { "domain_id": null, "flag": "fine_grained", "description_cn": "查询 域名 信息", "catalog": "CDN", "name": "system_all_11", "description": "Allow Query Domains", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/roles/db4259cce0ce47c9903dfdc195eb453b" }, "id": "db4259cce0ce47c9903dfdc195eb453b", "display_name": "CDN Domain Viewer", "type": "AX", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "cdn:configuration:queryDomains", "cdn:configuration:queryOriginServerInfo", "cdn:configuration:queryOriginConfInfo", "cdn:configuration:queryHttpsConf", "cdn:configuration:queryCacheRule", "cdn:configuration:queryReferConf", "cdn:configuration:queryChargeMode", "cdn:configuration:queryCacheHistoryTask", "cdn:configuration:queryIpAcl", "cdn:configuration:queryResponseHeaderList" ], "Effect": "Allow" } ] } } ], "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/domains/d78cbac186b744899480f25bd022f468/groups/077d71374b8025173f61c003ea0a11ac/roles" } }
  • 响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 权限信息列表。 表4 links 参数 参数类型 描述 self String 资源链接。 previous String 前一个邻接资源链接地址,不存在时为null。 next String 后一个邻接资源链接地址,不存在时为null。 表5 roles 参数 参数类型 描述 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时,标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。仅在创建时中传入了description_cn参数,响应体中才会返回此字段。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务C CS 普通用户权限CCS User的name为ccs_user。 携带在用户的token中,云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明: AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy Object 权限的具体内容。 updated_time String 权限更新时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 权限创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表6 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表7 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。 IAM 最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 表8 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又有Deny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Condition Object 限制条件。如果创建此策略未传入此字段,则返回结果中也无此字段。 说明: 以请求示例中的Condition为例:条件键(obs:prefix)和字符串(public)需相等(StringEquals)。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Array of strings 资源,如果创建此策略时未传入此字段,则返回结果中也无此字段。规则如下: 说明: 可填 * 的五段式:::::,例:"obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时,该字段类型为Object,值为:"Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。
  • URI GET /v3/domains/{domain_id}/groups/{group_id}/roles 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。
  • 示例流程 图1 给用户授权DAS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予数据管理服务 “DAS FullAccess”权限。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 在“服务列表”中选择“数据管理服务 DAS”,进入DAS主界面,单击详情页左上角“新增数据库登录”,若可以正常创建数据库登录,则表示DAS所需权限策略均已生效。
  • 示例流程 图1 给用户授权SFS Turbo权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予只读权限“SFS Turbo ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 选择高性能弹性文件服务,进入SFS Turbo主界面,单击右上角“创建文件系统”,尝试创建文件系统,如果无法创建文件系统,则表示“SFS Turbo ReadOnlyAccess”权限已生效。 选择除高性能弹性文件服务外的任一服务,如果提示权限不足,则表示“SFS Turbo ReadOnlyAccess”权限已生效。
  • Organizations自定义策略样例 示例1:授权IAM用户邀请账号加入组织、从组织中移除成员账号。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:accounts:invite", "organizations:accounts:remove" ] } ] } 示例2:拒绝IAM用户删除OU、移除成员账号。 拒绝策略需要同时配合其他策略使用,否则没有实际作用。如果没有主动授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创建一条拒绝删除OU、成员账号的自定义策略,然后同时将OrganizationsFullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对组织执行除了删除OU、移除成员账号外的所有操作。拒绝策略示例如下: { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:ous:delete", "organizations:accounts:remove" ] } ] }
  • 操作流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云数据库RDS,进入RDS主界面,单击右上角“购买关系型数据库”,尝试购买关系型数据库,如果无法购买关系型数据库(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,若提示权限不足,表示“RDS ReadOnlyAccess”已生效。
  • DLI 资源 资源是服务中存在的对象。在DLI中,资源如下,您可以在创建自定义策略时,通过指定资源路径来选择特定资源。 表1 DLI的指定资源与对应路径 资源类型 资源名称 资源路径 queue DLI队列 queues.queuename database DLI数据库 databases.dbname table DLI表 databases.dbname.tables.tbname column DLI列 databases.dbname.tables.tbname.columns.colname jobs DLI Flink作业 jobs.flink.jobid resource DLI程序包 resources.resourcename group DLI程序包组 groups.groupname datasourceauth DLI跨源认证信息 datasourceauth.name edsconnections DLI增强跨源 edsconnections.连接ID 父主题: 权限管理
  • 示例流程 图1 给用户授权SFS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予只读权限如下所示: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess” 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 选择弹性文件服务,进入SFS主界面,单击右上角“创建文件系统”,尝试创建文件系统,如果无法创建文件系统,则表示以下权限已生效: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess” 选择除弹性文件服务外的任一服务,如果提示权限不足,则表示以下权限已生效: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess”
  • GS_ROLES GS_ROLES视图显示数据库角色的相关信息。初始化用户和具有sysadmin属性或createrole属性的用户可以查看全部角色的信息,其他用户只能查看自己的信息。 表1 GS_ROLES字段 名称 类型 引用 描述 rolname name - 角色名称。 rolsuper boolean - 该角色是否是拥有最高权限的初始系统管理员。 t(true):表示是。 f(false):表示否。 rolinherit boolean - 该角色是否继承角色的权限。 t(true):表示是。 f(false):表示否。 rolcreaterole boolean - 该角色是否可以创建其他的角色。 t(true):表示是。 f(false):表示否。 rolcreatedb boolean - 该角色是否可以创建数据库。 t(true):表示是。 f(false):表示否。 rolcatupdate boolean - 该角色是否可以直接更新系统表。只有usesysid=10的初始系统管理员拥有此权限。其他用户无法获得此权限。 t(true):表示是。 f(false):表示否。 rolcanlogin boolean - 该角色是否可以登录数据库。 t(true):表示是。 f(false):表示否。 rolreplication boolean - 该角色是否可以复制。 t(true):表示是。 f(false):表示否。 rolauditadmin boolean - 该角色是否为审计管理员。 t(true):表示是。 f(false):表示否。 rolsystemadmin boolean - 该角色是否为系统管理员。 t(true):表示是。 f(false):表示否。 rolconnlimit integer - 对于可以登录的角色,表示该角色允许发起的最大并发连接数。 -1表示无限制。 rolpassword text - 密文存储后的用户密码,始终为********。 rolvalidbegin timestamp with time zone - 账户的有效开始时间。如果没有设置有效开始时间,则为NULL。 rolvaliduntil timestamp with time zone - 账户的有效结束时间。如果没有设置有效结束时间,则为NULL。 rolrespool name - 用户可以使用的资源池。 rolparentid oid PG_AUTHID.rolparentid 用户所在组用户的OID。 roltabspace text - 用户永久表的存储空间限额,单位KB。 rolconfig text[] PG_DB_ROLE_SETTING.setconfig 运行时配置项的默认值。 oid oid PG_AUTHID.oid 角色的id。 roluseft boolean PG_AUTHID.roluseft 角色是否可以操作外表。 t(true):表示是。 f(false):表示否。 rolkind "char" - 角色类型。 n:普通用户,即非永久用户。 p:永久用户。 nodegroup name - 该字段不支持。 roltempspace text - 用户临时表的存储空间限额,单位为KB。 rolspillspace text - 用户算子的落盘空间限额,单位为KB。 rolmonitoradmin boolean - 该角色是否为监控管理员。 t(true):表示是。 f(false):表示否。 roloperatoradmin boolean - 该角色是否为运维管理员。 t(true):表示是。 f(false):表示否。 rolpolicyadmin boolean - 该角色是否为安全策略管理员。 t(true):表示是。 f(false):表示否。 父主题: 用户和权限管理
  • ADM_COL_PRIVS ADM_COL_PRIVS视图显示所有的列权限授予信息。默认只有系统管理员权限才可以访问此系统视图,普通用户需要授权才可以访问。该视图同时存在于PG_CATA LOG 和SYS Schema下。 表1 ADM_COL_PRIVS字段 名称 类型 描述 grantor character varying(128) 执行授权的用户名。 owner character varying(128) 对象的所有者。 grantee character varying(128) 被授予权限的用户或角色的名称。 table_schema character varying(128) 对象的Schema。 table_name character varying(128) 对象的名称。 column_name character varying(128) 列的名称。 privilege character varying(40) 列的权限。 grantable character varying(3) 是否授予特权。 YES:授予。 NO:不授予。 common character varying(3) 暂不支持,值为NULL。 inherited character varying(3) 暂不支持,值为NULL。 父主题: 用户和权限管理
  • ADM_TAB_PRIVS ADM_TAB_PRIVS视图显示数据库中所有对象的授权信息。默认只有系统管理员权限才可以访问此系统视图,普通用户需要授权才可以访问。该视图同时存在于PG_CATALOG和SYS Schema下。 表1 ADM_TAB_PRIVS字段 名称 类型 描述 grantee character varying(128) 被授予权限的用户或角色的名称。 owner character varying(128) 对象的所有者。 table_name character varying(128) 对象的名称。 grantor character varying(128) 执行授权的用户名。 privilege character varying(40) 对象上的权限,包括USAGE、UPDATE、DELETE、INSERT、CONNECT、SELECT、EXECUTE。 grantable character varying(3) 该授权是否包含GRANT选项。 YES:包含GRANT选项。 NO:不包含GRANT选项。 type character varying(24) 对象的类型,包括NODE GROUP、COLUMN_ENCRYPTION_KEY、PACKAGE、COLUMN、TABLE、VIEW、SEQUENCE、TYPE、INDEX、DATABASE、DIRECTORY、FOREIGN DATA WRAPPER、FOREIGN SERVER、LANGUAGE、SCHEMA、TEMPLATE、FUNCTION、PROCEDURE、TABLESPACE。 hierarchy character varying(3) 暂不支持,值为NULL。 common character varying(3) 暂不支持,值为NULL。 inherited character varying(3) 暂不支持,值为NULL。 父主题: 用户和权限管理
  • GS_SHADOW GS_SHADOW视图显示了所有在PG_AUTHID中标记了rolcanlogin的角色的属性,只有系统管理员权限才可以访问此系统视图。 该视图的信息与GS_USER是基本一致的,区别在于后者对密码做了敏感化处理,统一显示为********。 表1 GS_SHADOW字段 名称 类型 引用 描述 usename name PG_AUTHID.rolname 用户名。 usesysid oid PG_AUTHID.oid 用户的id。 usecreatedb boolean - 用户是否可以创建数据库。 t(true):表示是。 f(false):表示否。 usesuper boolean - 用户是否是系统管理员。 t(true):表示是。 f(false):表示否。 usecatupd boolean - 用户是否可以更新视图。即使是系统管理员,如果这个字段值不是t,也不能更新视图。 t(true):表示是。 f(false):表示否。 userepl boolean - 用户是否可以复制数据流。 t(true):表示是。 f(false):表示否。 passwd text PG_AUTHID.rolpassword 密码密文,如果没有密码,则为NULL。 valbegin timestamp with time zone - 账户的有效开始时间。如果没有设置有效开始时间,则为NULL。 valuntil timestamp with time zone - 账户的有效结束时间。如果没有设置有效结束时间,则为NULL。 respool name - 用户所在的资源池。 parent oid - 父用户OID。 spacelimit text - 永久表存储空间的限额,单位KB。 useconfig text[] PG_DB_ROLE_SETTING.setconfig 运行时配置项的默认值。 tempspacelimit text - 临时表存储空间的限额,单位KB。 spillspacelimit text - 算子落盘空间的限额,单位KB。 usemonitoradmin boolean - 用户是否是监控管理员。 t(true):表示是。 f(false):表示否。 useoperatoradmin boolean - 用户是否是运维管理员。 t(true):表示是。 f(false):表示否。 usepolicyadmin boolean - 用户是否是安全策略管理员。 t(true):表示是。 f(false):表示否。 父主题: 用户和权限管理
  • PG_SECLABELS PG_SECLABELS视图显示安全标签的信息。 表1 PG_SECLABELS字段 名称 类型 引用 描述 objoid oid 任意OID属性 该安全标签所属的对象的OID。 classoid oid PG_CLASS.oid 该安全标签所属的对象所在系统表的OID。 objsubid integer - 对于一个在表字段上的安全标签,该字段是字段序号(引用表本身的objoid和classoid)。 对于所有其他对象类型,该字段为0。 objtype text - 该标签所属的对象的类型,文本格式。例如: table:表类型。 column:列类型。 objnamespace oid PG_NAMESPACE.oid 该对象的名称空间的OID,如果不适用,取值为NULL。 objname text - 该标签所属的对象的名称,文本格式。 provider text PG_SECLABEL.provider 该标签的提供者。 label text PG_SECLABEL.label 安全标签名称。 父主题: 用户和权限管理
  • GS_DB_PRIVILEGE GS_DB_PRIVILEGE系统表记录ANY权限的授予情况,每条记录对应一条授权信息。 表1 GS_DB_PRIVILEGE字段 名称 类型 描述 oid oid 行标识符(隐含字段,必须明确选择)。 roleid oid 用户标识。 privilege_type text 用户拥有的ANY权限,取值参考表1。 admin_option boolean 是否具有privilege_type列记录的ANY权限的再授权权限。 t:表示具有。 f:表示不具有。 父主题: 用户和权限管理