严格授权模式 严格授权模式是指在 IAM 中创建的子账号必须由账号管理员显式在IAM中授权，才能访问ModelArts服务，管理员用户可以通过授权策略为普通用户精确添加所需使用的ModelArts功能的权限。 相对的，在非严格授权模式下，子账号不需要显式授权就可以使用ModelArts，管理员需要在IAM上为子账号配置Deny策略来禁止子账号使用ModelArts的某些功能。 账号的管理员用户可以在“权限管理”页面修改授权模式。 如无特殊情况，建议优先使用严格授权模式。在严格授权模式下，子账号要使用ModelArts的功能都需经过授权，可以更精确的控制子账号的权限范围，达成权限最小化的安全策略。

用工作空间限制资源访问 工作空间是ModelArts面向企业用户提供的一个高阶功能，用于进一步将用户的资源划分在多个逻辑隔离的空间中，并支持以空间维度进行访问的权限限定。目前工作空间功能是“受邀开通”状态，作为企业用户您可以通过您对口的技术支持经理申请开通。 在开通工作空间后，系统会默认为您创建一个“default”空间，您之前所创建的所有资源，均在该空间下。当您创建新的工作空间之后，相当于您拥有了一个新的“ModelArts分身”，您可以通过菜单栏的左上角进行工作空间的切换，不同工作空间中的工作互不影响。 创建工作空间时，必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目，但一个工作空间不可以绑定多个企业项目。借助工作空间，您可以对不同用户的资源访问和权限做更加细致的约束，具体为如下两种约束： 只有被授权的用户才能访问特定的工作空间（在创建、管理工作空间的页面进行配置），这意味着，像数据集、算法等AI资产，均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中，如果“选择授权范围方案”时设定为“指定企业项目资源”，那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的，意味着对于一个用户，必须同时拥有工作空间的访问权和训练任务的创建权限（且该权限覆盖至当前的工作空间），他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户，其所有操作均相当于在“default”企业项目里进行，请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户，不受上述约束限制。

ModelArts权限管理 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分，为项目级服务，授权时“选择授权范围方案”可以选择“指定区域项目资源”，如果授权时指定了区域（如华北-北京4）对应的项目（cn-north-4），则该权限仅对此项目生效；简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目，所以选择授权范围方案时，也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候，并不是直接将具体的某个权限进行赋权，而是需要先将权限加入到“策略”当中，再把策略赋给用户组。为了方便用户的权限管理，各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求，则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户，拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户，拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲，只给管理员开通“ModelArts FullAccess”，如果不需要太精细的控制，直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制，请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上，当您给用户进行ModelArts赋权时，系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全，不会出现预期外的“越权”，但缺点是，您必须同时给用户赋予不同服务的权限，才能确保用户可以顺利完成某些ModelArts操作。 举例，如果用户需要用OBS中的数据进行训练，当已经为IAM用户配置ModelArts训练权限时，仍需同时为其配置对应的OBS权限（读、写、列表），才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径；读权限主要用于数据的预览以及训练任务执行时的数据读取；写权限则是为了保存训练结果和日志。 对于个人用户或小型组织，一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略，这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时，由于用户的权限较大，会存在相对较大的安全风险，需谨慎使用。（对于个人用户，其默认IAM账号就已经属于admin用户组，且具备Tenant Administrator权限，无需额外操作） 当您需要限制用户操作，仅为ModelArts用户配置OBS相关的最小化权限项，具体操作请参见OBS权限管理。对于其他云服务，也可以进行精细化权限控制，具体请参考对应的云服务文档。

理解ModelArts的权限与委托 图1 权限管理抽象 ModelArts与其他服务类似，功能都通过IAM的权限来进行控制。比如，用户（此处指IAM子账号，而非租户）希望在ModelArts创建训练作业，则该用户必须拥有 "modelarts:trainJob:create" 的权限才可以完成操作（无论界面操作还是API调用）。关于如何给一个用户赋权（准确讲是需要先将用户加入用户组，再面向用户组赋权），可以参考IAM的文档《权限管理》。 而ModelArts还有一个特殊的地方在于，为了完成AI计算的各种操作，AI平台在任务执行过程中需要访问用户的其他服务，典型的就是训练过程中，需要访问OBS读取用户的训练数据。在这个过程中，就出现了ModelArts“代表”用户去访问其他云服务的情形。从安全角度出发，ModelArts代表用户访问任何云服务之前，均需要先获得用户的授权，而这个动作就是一个“委托”的过程。用户授权ModelArts再代表自己访问特定的云服务，以完成其在ModelArts平台上执行的AI计算任务。 综上，对于图1 权限管理抽象可以做如下解读： 用户访问任何云服务，均是通过标准的IAM权限体系进行访问控制。用户首先需要具备相关云服务的权限（根据您具体使用的功能不同，所需的相关服务权限多寡亦有差异）。 权限：用户使用ModelArts的任何功能，亦需要通过IAM权限体系进行正确权限授权。 委托：ModelArts上的AI计算任务执行过程中需要访问其他云服务，此动作需要获得用户的委托授权。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予边缘安全权限“EdgeSec FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除边缘拿权外（假设当前策略仅包含“EdgeSec FullAccess”）的任一服务，若提示权限不足，表示“EdgeSec FullAccess”已生效。

操作流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时，除了需要配置“RDS ReadOnlyAccess”权限外，还需要配置对应服务的权限。 例如：使用控制台连接实例时，除了需要配置“RDS ReadOnlyAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云数据库RDS，进入RDS主界面，单击右上角“购买关系型数据库”，尝试购买关系型数据库，如果无法购买关系型数据库（假设当前权限仅包含RDS ReadOnlyAccess），表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库RDS外（假设当前策略仅包含RDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“RDS ReadOnlyAccess”已生效。

场景举例 某互联网公司，主要有游戏和音乐两大业务，使用 DLI 服务进行用户行为分析，辅助决策。 如图1所示，“基础平台组组长”在华为云上申请了一个“租户管理员”（Tenant Administrator）账号，用于管理和使用华为云的各个服务。因为“大数据平台组”需要使用DLI进行数据分析，所有“基础平台组组长”增加了一个权限为“DLI服务管理员”（DLI Service Administrator）的子账号用于管理和使用DLI服务。“基础平台组组长”按照公司两个业务对于数据分析的要求，创建了“队列A”分配给“数据工程师A”运行游戏数据分析业务，“队列B”分配给“数据工程师B”运行音乐数据分析业务，并分别赋予“DLI普通用户”权限，具有队列使用权限，数据（除数据库）的管理和使用权限。 图1 权限分配 “数据工程师A”创建了一个gameTable表用于存放游戏道具相关数据，userTable表用于存放游戏用户相关数据。因为音乐业务是一个新业务，想在存量的游戏用户中挖掘一些潜在的音乐用户，所以“数据工程师A”把userTable表的查询权限赋给了“数据工程师B”。同时，“数据工程师B”创建了一个musicTable用于存放音乐版权相关数据。 “数据工程师A”和“数据工程师B”对于队列和数据的使用权限如表3所示。 表3 使用权限说明 用户 数据工程师A（游戏数据分析） 数据工程师B（音乐数据分析） 队列 队列A（队列使用权限） 队列B（队列使用权限） 数据（表） gameTable（表管理和使用权限） musicTable（表管理和使用权限） userTable（表管理和使用权限） userTable（表查询权限） 队列的使用权限包括提交作业和终止作业两个权限。

DLI权限分类 DLI服务权限分类如表2所示，其可控制的资源请参考表4。 表2 DLI权限分类 权限大类 权限小类 控制台操作 SQL语法 队列权限 队列管理权限 请参考队列权限管理 无 队列使用权限 数据权限 数据库权限 请参考在DLI控制台配置数据库权限和在DLI控制台配置表权限 请参考 《权限列表》。 表权限 列权限 作业权限 Flink作业 请参考配置Flink作业权限 无 程序包权限 程序包组权限 请参考配置程序包权限 无 程序包权限 跨源认证权限 跨源认证权限 请参考跨源认证权限管理 无

IAM鉴权使用场景 企业用户在华为云上使用DLI服务时，需要对不同部门的员工使用DLI资源（队列）进行管理，包括资源的创建、删除、使用、隔离等。同时，也需要对不同部门的数据进行管理，包括数据的隔离、共享等。 DLI使用IAM进行精细的企业级多租户管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 如果华为云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。

DLI系统权限 如表1所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 了解DLI SQL常用操作与系统策略的授权关系，请参考常用操作与系统权限关系。 表1 DLI系统权限 系统角色/策略名称 描述 类别 依赖关系 DLI FullAccess 数据湖探索 所有权限。 系统策略 该角色有依赖，需要在同项目中勾选依赖的角色： 创建跨源连接：VPC ReadOnlyAccess 创建包年/包月资源：BSS Administrator 创建标签：TMS FullAccess、EPS EPS FullAccess 使用OBS存储：OBS OperateAccess 创建委托：Security Administrator DLI ReadOnlyAccess 数据湖 探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 无 Tenant Administrator 租户管理员。 操作权限：具有数据湖探索服务资源的所有执行权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 无 DLI Service Administrator 数据湖探索管理员。 操作权限：具有数据湖探索服务资源的所有执行权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 无 具体的授权方式请参考创建IAM用户并授权使用DLI以及《如何创建子用户》和《如何修改用户策略》。

LakeFormation服务权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM项目只读授权指导：当租户管理员需要给某个子用户分配LakeFormation服务在某个IAM项目下的只读权限。可以给该用户创建一个用户组，同时在用户组将LakeFormation ReadOnlyAccess系统策略授权给指定IAM项目即可。 企业项目授权指导：当租户管理员需要给某个子用户分配LakeFormation服务在某个企业项目下的所有操作权限。可以给该用户创建一个用户组，同时在用户组中将LakeFormation CommonAccess授权给全局，将LakeFormation FullAccess授权给指定企业项目即可。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分，LakeFormation的自定义IAM策略操作可参考创建LakeFormation自定义IAM策略。 表1 LakeFormation系统策略 系统角色/策略名称 描述 类别 依赖关系 LakeFormation FullAccess LakeFormation管理员权限，拥有该权限的用户可以操作并使用所有LakeFormation服务功能。 系统策略 IAM AgencyFullAccess OBS OperateAccess VPC FullAccess VPCEndpoint FullAccess LakeFormation ReadOnlyAccess LakeFormation只读权限，拥有该权限的用户可以执行LakeFormation所有查询类功能。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC ReadOnlyAccess VPCEndpoint ReadOnlyAccess LakeFormation CommonOperations LakeFormation基础权限，包含LakeFormation服务协议查看/授权/取消，以及OBS、TMS等周边依赖服务的基础权限集合。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC FullAccess VPCEndpoint FullAccess 表2 LakeFormation的IAM权限列表 操作类型 操作项 描述 只读 lakeformation:access:describe 查询接入客户端。 lakeformation:accessAgency:describe 查询接入委托信息。 lakeformation:accessService:describe 查看接入服务。 lakeformation:agency:describe 查询委托。 lakeformation:agreement:describe 查询服务协议授权。 lakeformation:catalog:describe 查询Catalog元数据。 lakeformation:configuration:describe 查询配置。 lakeformation:credential:describe 查询认证信息。 lakeformation:database:describe 查询数据库元数据。 lakeformation:dataset:describe 查询数据集元数据。 lakeformation:dataset:describeFile 查询数据集文件元数据。 lakeformation:dataset:describeFileGroup 查询数据集文件组元数据。 lakeformation:function:describe 查询函数元数据。 lakeformation:group:describe 查询用户组信息。 lakeformation:instance:describe 查询实例。 lakeformation:instance:listAuthorizedLocation 查询授权资源。 lakeformation:instanceJob:describe 查询任务。 lakeformation:model:describe 查询模型元数据。 lakeformation:model:describeFile 查询模型文件元数据。 lakeformation:obs:describe 查询OBS桶列表。 lakeformation:policy:describe 查询权限策略。 lakeformation:policy:export 批量查询权限策略。 lakeformation:role:describe 查询角色。 lakeformation:table:describe 查询表元数据。 lakeformation:tableFileGroup:describe 查询表文件组元数据。 lakeformation:tag:describe 查询资源标签。 lakeformation:user:describe 查询用户以及关联角色关系。 写 lakeformation:access:create 创建接入客户端。 lakeformation:access:delete 删除接入客户端。 lakeformation:agency:create 创建委托。 lakeformation:agency:drop 删除委托。 lakeformation:catalog:alter 修改Catalog元数据。 lakeformation:catalog:create 创建Catalog元数据。 lakeformation:catalog:drop 删除Catalog元数据。 lakeformation:database:alter 修改数据库元数据。 lakeformation:database:create 创建数据库元数据。 lakeformation:database:drop 删除数据库元数据。 lakeformation:dataset:alter 修改数据集元数据。 lakeformation:dataset:alterFile 修改数据集文件元数据。 lakeformation:dataset:alterFileGroup 修改数据集文件组元数据。 lakeformation:dataset:create 创建数据集元数据。 lakeformation:dataset:createFile 创建数据集文件元数据。 lakeformation:dataset:createFileGroup 创建数据集文件组元数据。 lakeformation:dataset:drop 删除数据集元数据。 lakeformation:dataset:dropFile 删除数据集文件元数据。 lakeformation:dataset:dropFileGroup 删除数据集文件组元数据。 lakeformation:function:alter 修改函数元数据。 lakeformation:function:create 创建函数元数据 lakeformation:function:drop 删除函数元数据。 lakeformation:group:alter 修改用户组信息。 lakeformation:instance:access 申请接入服务。 lakeformation:instance:alter 修改实例。 lakeformation:instance:create 创建实例。 lakeformation:instance:drop 删除实例。 lakeformation:instanceJob:alter 修改任务。 lakeformation:instanceJob:create 创建任务。 lakeformation:instanceJob:drop 删除任务。 lakeformation:instanceJob:exec 执行任务。 lakeformation:model:alter 修改模型元数据。 lakeformation:model:alterFile 修改模型文件元数据。 lakeformation:model:create 创建模型元数据。 lakeformation:model:createFile 创建模型文件元数据。 lakeformation:model:drop 删除模型元数据。 lakeformation:model:dropFile 删除模型文件元数据。 lakeformation:policy:create 创建权限策略。 lakeformation:policy:drop 删除权限策略。 lakeformation:role:alter 修改角色。 lakeformation:role:create 创建角色。 lakeformation:role:drop 删除角色。 lakeformation:table:alter 修改表元数据。 lakeformation:table:create 创建表元数据。 lakeformation:table:drop 删除表元数据。 lakeformation:tableFileGroup:create 创建表文件组元数据。 lakeformation:tableFileGroup:drop 删除表文件组元数据。 lakeformation:transaction:operate 操作事务。 lakeformation:user:alter 修改用户以及关联角色关系。 权限管理 lakeformation:accessService:grant 授权接入服务。 lakeformation:accessTenant:grant 授权接入租户。 lakeformation:agreement:cancel 取消服务协议授权。 lakeformation:agreement:grant 授权服务协议授权。 lakeformation:instance:authorizeLocation 授权OBS路径。 lakeformation:instance:cancelAuthorizeLocation 取消授权OBS路径。

操作流程 图1 给用户授权LakeFormation权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予LakeFormation服务对应权限。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 以新创建的用户登录云服务控制台，切换至授权区域，验证权限是否生效。 例如： 在“服务列表”中选择LakeFormation服务，进入总览界面，单击右上角“购买实例”，实例创建界面正常展示，表示“lakeformation:role:create”权限已生效。

OCR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 OCR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问OCR时，需要先切换至授权区域。 如表1所示，包括了OCR的所有系统角色。 表1 OCR系统策略 策略名称 描述 策略类型 依赖关系 OCR FullAccess 所有权限 系统策略 无 OCR ReadOnlyAccess 只读访问权限 系统策略 无 表2列出了OCR常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 OCR操作与系统策略关系 Action Action说明 OCR FullAccess OCR ReadOnlyAccess ocr:financialStatement:subscribe 开通财报识别服务 √ × ocr:financialStatement:unsubscribe 取消开通财报识别服务 √ × ocr:financialStatement:getSubscribeUserList 查询开通财报识别的用户列表 √ √ ocr:financialStatement:subscribeAllUsers 为其余子用户开通财报识别服务 √ × ocr:financialStatement:unsubscribeAllUsers 为其余子用户取消开通财报识别服务 √ × ocr:autoClassification:subscribe 开通智能分类识别服务 √ × ocr:autoClassification:unsubscribe 取消开通智能分类识别服务 √ × ocr:autoClassification:getSubscribeUserList 查询开通智能分类识别的用户列表 √ √ ocr:autoClassification:subscribeAllUsers 为其余子用户开通智能分类识别服务 √ × ocr:autoClassification:unsubscribeAllUsers 为其余子用户取消开通智能分类识别服务 √ × ocr:idCard:subscribe 开通身份证识别服务 √ × ocr:idCard:unsubscribe 取消开通身份证识别服务 √ × ocr:idCard:getSubscribeUserList 查询开通身份证识别的用户列表 √ √ ocr:idCard:subscribeAllUsers 为其余子用户开通身份证识别服务 √ × ocr:idCard:unsubscribeAllUsers 为其余子用户取消开通身份证识别服务 √ × ocr:driverLicense:subscribe 开通驾驶证识别服务 √ × ocr:driverLicense:unsubscribe 取消开通驾驶证识别服务 √ × ocr:driverLicense:getSubscribeUserList 查询开通驾驶证识别的用户列表 √ √ ocr:driverLicense:subscribeAllUsers 为其余子用户开通驾驶证识别服务 √ × ocr:driverLicense:unsubscribeAllUsers 为其余子用户取消开通驾驶证识别服务 √ × ocr:vehicleLicense:subscribe 开通 行驶证识别 服务 √ × ocr:vehicleLicense:unsubscribe 取消开通行驶证识别服务 √ × ocr:vehicleLicense:getSubscribeUserList 查询开通行驶证识别的用户列表 √ √ ocr:vehicleLicense:subscribeAllUsers 为其余子用户开通行驶证识别服务 √ × ocr:vehicleLicense:unsubscribeAllUsers 为其余子用户取消开通行驶证识别服务 √ × ocr:vatInvoice:subscribe 开通增值税发票识别服务 √ × ocr:vatInvoice:unsubscribe 取消开通增值税发票识别服务 √ × ocr:vatInvoice:getSubscribeUserList 查询开通增值税发票识别的用户列表 √ √ ocr:vatInvoice:subscribeAllUsers 为其余子用户开通增值税发票识别服务 √ × ocr:vatInvoice:unsubscribeAllUsers 为其余子用户取消开通增值税发票识别服务 √ × ocr:invoiceVerification:subscribe 开通发票验真服务 √ × ocr:invoiceVerification:unsubscribe 取消开通发票验真服务 √ × ocr:invoiceVerification:getSubscribeUserList 查询开通发票验真的用户列表 √ √ ocr:invoiceVerification:subscribeAllUsers 为其余子用户开通发票验真服务 √ × ocr:invoiceVerification:unsubscribeAllUsers 为其余子用户取消开通发票验真服务 √ × ocr:mvsInvoice:subscribe 开通机动车销售发票识别服务 √ × ocr:mvsInvoice:unsubscribe 取消开通机动车销售发票识别服务 √ × ocr:mvsInvoice:getSubscribeUserList 查询开通机动车销售发票识别的用户列表 √ √ ocr:mvsInvoice:subscribeAllUsers 为其余子用户开通机动车销售发票识别服务 √ × ocr:mvsInvoice:unsubscribeAllUsers 为其余子用户取消开通机动车销售发票识别服务 √ × ocr:generalText:subscribe 开通 通用文字识别 服务 √ × ocr:generalText:unsubscribe 取消开通通用 文字识别 服务 √ × ocr:generalText:getSubscribeUserList 查询开通通用文字识别的用户列表 √ √ ocr:generalText:subscribeAllUsers 为其余子用户开通通用文字识别服务 √ × ocr:generalText:unsubscribeAllUsers 为其余子用户取消开通通用文字识别服务 √ × ocr:generalTable:subscribe 开通通用 表格识别 服务 √ × ocr:generalTable:unsubscribe 取消开通通用表格识别服务 √ × ocr:generalTable:getSubscribeUserList 查询开通通用表格识别的用户列表 √ √ ocr:generalTable:subscribeAllUsers 为其余子用户开通通用表格识别服务 √ × ocr:generalTable:unsubscribeAllUsers 为其余子用户取消开通通用表格识别服务 √ × ocr:tollInvoice:subscribe 开通车辆通行费发票识别服务 √ × ocr:tollInvoice:unsubscribe 取消开通车辆通行费发票识别服务 √ × ocr:tollInvoice:getSubscribeUserList 查询开通车辆通行费发票识别的用户列表 √ √ ocr:tollInvoice:subscribeAllUsers 为其余子用户开通车辆通行费发票识别服务 √ × ocr:tollInvoice:unsubscribeAllUsers 为其余子用户取消开通车辆通行费发票识别服务 √ × ocr:quotaInvoice:subscribe 开通定额发票识别服务 √ × ocr:quotaInvoice:unsubscribe 取消开通定额发票识别服务 √ × ocr:quotaInvoice:getSubscribeUserList 查询开通定额发票识别的用户列表 √ √ ocr:quotaInvoice:subscribeAllUsers 为其余子用户开通定额发票识别服务 √ × ocr:quotaInvoice:unsubscribeAllUsers 为其余子用户取消开通定额发票识别服务 √ × ocr:flightItinerary:subscribe 开通飞机行程单识别服务 √ × ocr:flightItinerary:unsubscribe 取消开通飞机行程单识别服务 √ × ocr:flightItinerary:getSubscribeUserList 查询开通飞机行程单识别的用户列表 √ √ ocr:flightItinerary:subscribeAllUsers 为其余子用户开通飞机行程单识别服务 √ × ocr:flightItinerary:unsubscribeAllUsers 为其余子用户取消开通飞机行程单识别服务 √ × ocr:taxiInvoice:subscribe 开通出租车发票识别服务 √ × ocr:taxiInvoice:unsubscribe 取消开通出租车发票识别服务 √ × ocr:taxiInvoice:getSubscribeUserList 查询开通出租车发票识别的用户列表 √ √ ocr:taxiInvoice:subscribeAllUsers 为其余子用户开通出租车发票识别服务 √ × ocr:taxiInvoice:unsubscribeAllUsers 为其余子用户取消开通出租车发票识别服务 √ × ocr:trainTicket:subscribe 开通火车票识别服务 √ × ocr:trainTicket:unsubscribe 取消开通火车票识别服务 √ × ocr:trainTicket:getSubscribeUserList 查询开通火车票识别的用户列表 √ √ ocr:trainTicket:subscribeAllUsers 为其余子用户开通火车票识别服务 √ × ocr:trainTicket:unsubscribeAllUsers 为其余子用户取消开通火车票识别服务 √ × ocr:bankCard:subscribe 开通银行卡识别服务 √ × ocr:bankCard:unsubscribe 取消开通银行卡识别服务 √ × ocr:bankCard:getSubscribeUserList 查询开通银行卡识别的用户列表 √ √ ocr:bankCard:subscribeAllUsers 为其余子用户开通银行卡识别服务 √ × ocr:bankCard:unsubscribeAllUsers 为其余子用户取消开通银行卡识别服务 √ × ocr:passport:subscribe 开通护照识别服务 √ × ocr:passport:unsubscribe 取消开通护照识别服务 √ × ocr:passport:getSubscribeUserList 查询开通护照识别的用户列表 √ √ ocr:passport:subscribeAllUsers 为其余子用户开通护照识别服务 √ × ocr:passport:unsubscribeAllUsers 为其余子用户取消开通护照识别服务 √ × ocr:transportationLicense:subscribe 开通道路运输证识别服务 √ × ocr:transportationLicense:unsubscribe 取消开通道路运输证识别服务 √ × ocr:transportationLicense:getSubscribeUserList 查询开通道路运输证识别的用户列表 √ √ ocr:transportationLicense:subscribeAllUsers 为其余子用户开通道路运输证识别服务 √ × ocr:transportationLicense:unsubscribeAllUsers 为其余子用户取消开通道路运输证识别服务 √ × ocr:businessLicense:subscribe 开通营业执照识别服务 √ × ocr:businessLicense:unsubscribe 取消开通营业执照识别服务 √ × ocr:businessLicense:getSubscribeUserList 查询开通营业执照识别的用户列表 √ √ ocr:businessLicense:subscribeAllUsers 为其余子用户开通营业执照识别服务 √ × ocr:businessLicense:unsubscribeAllUsers 为其余子用户取消开通营业执照识别服务 √ × ocr:licensePlate:subscribe 开通车牌识别服务 √ × ocr:licensePlate:unsubscribe 取消开通车牌识别服务 √ × ocr:licensePlate:getSubscribeUserList 查询开通车牌识别的用户列表 √ √ ocr:licensePlate:subscribeAllUsers 为其余子用户开通车牌识别服务 √ × ocr:licensePlate:unsubscribeAllUsers 为其余子用户取消开通车牌识别服务 √ × ocr:webImage:subscribe 开通网络图片识别服务 √ × ocr:webImage:unsubscribe 取消开通网络图片识别服务 √ × ocr:webImage:getSubscribeUserList 查询开通网络图片识别的用户列表 √ √ ocr:webImage:subscribeAllUsers 为其余子用户开通网络图片识别服务 √ × ocr:webImage:unsubscribeAllUsers 为其余子用户取消开通网络图片识别服务 √ × ocr:handwriting:subscribe 开通手写文字识别服务 √ × ocr:handwriting:unsubscribe 取消开通手写文字识别服务 √ × ocr:handwriting:getSubscribeUserList 查询开通手写文字识别的用户列表 √ √ ocr:handwriting:subscribeAllUsers 为其余子用户开通手写文字识别服务 √ × ocr:handwriting:unsubscribeAllUsers 为其余子用户取消开通手写文字识别服务 √ × ocr:vin:subscribe 开通vin码识别服务 √ × ocr:vin:unsubscribe 取消开通vin码识别服务 √ × ocr:vin:getSubscribeUserList 查询开通vin码识别的用户列表 √ √ ocr:vin:subscribeAllUsers 为其余子用户开通vin码识别服务 √ × ocr:vin:unsubscribeAllUsers 为其余子用户取消开通vin码识别服务 √ × ocr:businessCard:subscribe 开通名片识别服务 √ × ocr:businessCard:unsubscribe 取消开通名片识别服务 √ × ocr:businessCard:getSubscribeUserList 查询开通名片识别的用户列表 √ √ ocr:businessCard:subscribeAllUsers 为其余子用户开通名片识别服务 √ × ocr:businessCard:unsubscribeAllUsers 为其余子用户取消开通名片识别服务 √ × ocr:insurancePolicy:subscribe 开通保险单识别服务 √ × ocr:insurancePolicy:unsubscribe 取消开通保险单识别服务 √ × ocr:insurancePolicy:getSubscribeUserList 查询开通保险单识别的用户列表 √ √ ocr:insurancePolicy:subscribeAllUsers 为其余子用户开通保险单识别服务 √ × ocr:insurancePolicy:unsubscribeAllUsers 为其余子用户取消开通保险单识别服务 √ × ocr:transportationQualificationCertificate:subscribe 开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:unsubscribe 取消开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:getSubscribeUserList 查询开通道路运输从业资格证的用户列表 √ √ ocr:transportationQualificationCertificate:subscribeAllUsers 为其余子用户开通道路运输从业资格证服务 √ × ocr:transportationQualificationCertificate:unsubscribeAllUsers 为其余子用户取消开通道路运输从业资格证服务 √ ×

MgC MigrateAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "mgc:*:migrate", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas"， "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }

MgC FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:*", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas"， "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }