权限相关-华为云

数据湖探索 DLI-数据权限列表

数据权限列表 DLI 中SQL语句与数据库、表、角色相关的权限矩阵如表1所示。表1 权限矩阵分类 SQL语句权限说明 Database DROP DATABASE db1 database.db1的DROP_DATABASE权限 - CREATE TABLE tb1(...) database.db1的CREATE_TABLE权限 - CREATE VIEW v1 database.db1的CREATE_VIEW权限 - EXPLAIN query database.db1的EXPLAIN权限 query需要其相应的权限。 Table SHOW CREATE TABLE tb1 database.db1.tables.tb1的SHOW_CREATE_TABLE权限 - DESCRIBE [EXTENDED|FORMATTED] tb1 databases.db1.tables.tb1的DESCRIBE_TABLE权限 - DROP TABLE [IF EXISTS] tb1 database.db1.tables.tb1的DROP_TABLE权限 - SELECT * FROM tb1 database.db1.tables.tb1的SELECT权限 - SELECT count(*) FROM tb1 database.db1.tables.tb1的SELECT权限 - SELECT * FROM view1 database.db1.tables.view1的SELECT权限 - SELECT count(*) FROM view1 database.db1.tables.view1的SELECT权限 - LOAD DLI TABLE database.db1.tables.tb1的INSERT_INTO_TABLE权限 - INSERT INTO TABLE database.db1.tables.tb1的INSERT_INTO_TABLE权限 - INSERT OVERWRITE TABLE database.db1.tables.tb1的INSERT_OVERWRITE_TABLE权限 - ALTER TABLE ADD COLUMNS database.db1.tables.tb1的ALTER_TABLE_ADD_COLUMNS权限 - ALTER TABLE RENAME database.db1.tables.tb1的ALTER_TABLE_RENAME权限 - ROLE&PRIVILEGE CREATE ROLE db的CREATE_ROLE权限 - DROP ROLE db的DROP_ROLE权限 - SHOW ROLES db的SHOW_ROLES权限 - GRANT ROLES db的GRANT_ROLE权限 - REVOKE ROLES db的REVOKE_ROLE权限 - GRANT PRIVILEGE db或table的GRANT_PRIVILEGE权限 - REVOKE PRIVILEGE db或table的REVOKE_PRIVILEGE权限 - SHOW GRANT db或table的SHOW_GRANT权限 - Privilege在进行数据库和表赋权或回收权限时，DLI支持的权限类型如下所示。 DATABASE上可赋权/回收的权限： DROP_DATABASE（删除数据库） CREATE_TABLE（创建表） CREATE_VIEW（创建视图） EXPLAIN（将SQL语句解释为执行计划） CREATE_ROLE（创建角色） DROP_ROLE（删除角色） SHOW_ROLES（显示角色） GRANT_ROLE（绑定角色） REVOKE_ROLE（解除角色绑定） DESCRIBE_TABLE（描述表） DROP_TABLE（删除表） SELECT（查询表） INSERT_INTO_TABLE（插入） INSERT_OVERWRITE_TABLE（重写） GRANT_PRIVILEGE（数据库的赋权） REVOKE_PRIVILEGE（数据库权限的回收） SHOW_PRIVILEGES（查看其他用户具备的数据库权限） ALTER_TABLE_ADD_PARTITION（在分区表中添加分区） ALTER_TABLE_DROP_PARTITION（删除分区表的分区） ALTER_TABLE_RENAME_PARTITION（重命名表分区） ALTER_TABLE_RECOVER_PARTITION（恢复表分区） ALTER_TABLE_SET_LOCATION（设置分区的路径） SHOW_PARTITIONS（显示所有分区） SHOW_CREATE_TABLE（查看建表语句） TABLE上可以赋权/回收的权限： DESCRIBE_TABLE（描述表） DROP_TABLE（删除表） SELECT（查询表） INSERT_INTO_TABLE（插入） INSERT_OVERWRITE_TABLE（重写） GRANT_PRIVILEGE（表的赋权） REVOKE_PRIVILEGE（表权限的回收） SHOW_PRIVILEGES（查看其他用户具备的表权限） ALTER_TABLE_ADD_COLUMNS（增加列） ALTER_TABLE_RENAME（重命名表） ALTER_TABLE_ADD_PARTITION（在分区表中添加分区） ALTER_TABLE_DROP_PARTITION（删除分区表的分区） ALTER_TABLE_RENAME_PARTITION（重命名表分区） ALTER_TABLE_RECOVER_PARTITION（恢复表分区） ALTER_TABLE_SET_LOCATION（设置分区的路径） SHOW_PARTITIONS（显示所有分区） SHOW_CREATE_TABLE（查看建表语句）父主题：数据权限相关

数据湖探索 DLI 数据权限相关

数据湖探索 DLI-查看赋权对象使用者权限信息:响应消息

响应消息表3 响应参数参数名称是否必选参数类型说明 is_success 是 Boolean 执行请求是否成功。“true”表示请求执行成功。 message 是 String 系统提示信息。执行成功时，信息可能为空。 object_name 否 String 对象名称。 object_type 否 String 对象类型。 privileges 否 Array of Object 权限信息。具体内容请参考表4。 count 否 Integer 权限总数量。表4 privileges参数参数名称是否必选参数类型说明 object 否 String 授权对象，和赋权API中的“object”对应。 is_admin 否 Boolean 判断用户是否为管理员。 user_name 否 String 用户名称，即该用户在当前数据库上有权限。 privileges 否 Array of Strings 该用户在数据库上的权限。

数据湖探索 DLI 权限相关API

数据湖探索 DLI-查看赋权对象使用者权限信息:响应示例

响应示例 { "is_success": true, "message": "", "object_name": "9561", "object_type": "flink", "count": 2, "privileges": [ { "user_name": "testuser1", "is_admin": true, "privileges": [ "ALL" ] }, { "user_name": "user1", "is_admin": false, "privileges": [ "GET" ] } ] }

数据湖探索 DLI 权限相关API

数据湖探索 DLI-队列赋权（废弃）:请求消息

请求消息表2 请求参数参数名称是否必选参数类型说明 queue_name 是 String 队列名称。示例值：queue1。 user_name 是 String 被赋权用户名称。给该用户赋使用队列的权限，回收其使用权限，或者更新其使用权限。示例值：tenant2。 action 是 String 指定赋权或回收。值为：grant，revoke或update。当用户同时拥有grant和revoke权限的时候才有权限使用update操作。示例值：grant。 grant：赋权。 revoke：回收权限。 update：清空原来的所有权限，赋予本次提供的权限数组中的权限。 privileges 是 Array of Strings 待赋权、回收或更新的权限列表。可操作的权限可以是以下权限中的一种或多种。示例值：["DROP_QUEUE", "SUBMIT_JOB"]。 SUBMIT_JOB：提交作业 CANCEL_JOB ：取消作业 DROP_QUEUE ：删除队列 GRANT_PRIVILEGE：赋权 REVOKE_PRIVILEGE：权限回收 SHOW_PRIVILEGES：查看其它用户具备的权限 RESTART：重启队列 SCALE_QUEUE：规格变更说明：若需更新的权限列表为空，则表示回收用户在该队列的所有权限。

数据湖探索 DLI 权限相关API（废弃）

华为云UCS-如何配置UCS控制台各功能的访问权限？:解决方案

解决方案管理员需要为用户授予U CS 控制台各功能的权限，通过 IAM 系统策略（包括UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess）来界定用户的权限范围。表1 UCS系统权限系统角色/策略名称描述类别 UCS FullAccess UCS服务管理员权限，拥有该权限的用户拥有服务的所有权限（包含制定权限策略、安全策略等）。系统策略 UCS CommonOperations UCS服务基本操作权限，拥有该权限的用户可以执行创建工作负载、流量分发等操作。系统策略 UCS CIAOperations UCS服务容器智能分析管理员权限。系统策略 UCS ReadOnlyAccess UCS服务只读权限（除容器智能分析只读权限）。系统策略另外，华为云各服务之间存在业务交互关系，UCS也依赖其他云服务实现一些功能（如镜像仓库、域名解析），因此，上述几种系统策略经常和其他云服务的角色或策略结合使用，以达到精细化授权的目的。管理员在为IAM用户授权时，应该遵循权限最小化的安全实践原则，表2列举了UCS各功能管理员、操作、只读权限所需要的最小权限。授予用户IAM系统策略的详细操作请参见UCS服务资源权限；授予用户UCS RBAC权限的详细操作请参见集群中Kubernetes资源权限。表2 UCS功能所需的最小权限功能权限类型权限范围最小权限容器舰队管理员权限创建、删除舰队注册华为云集群（CCE集群、 CCE Turbo 集群）、本地集群或附着集群注销集群将集群加入、移出舰队为集群或舰队关联权限开通集群联邦、联邦管理相关操作（如创建联邦工作负载、创建域名访问等） UCS FullAccess 只读权限查询集群、舰队的列表或详情 UCS ReadOnlyAccess 华为云集群管理员权限对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess + CCE Administrator 操作权限对华为云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + CCE Administrator 只读权限对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + CCE Administrator 本地/附着/多云/伙伴云集群管理员权限本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess 操作权限本地/附着/多云/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + UCS RBAC权限（需要包含namespaces资源对象的list权限）只读权限本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + UCS RBAC权限（需要包含namespaces资源对象的list权限）镜像仓库管理员权限容器镜像服务的所有权限，包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 SWR Administrator 权限管理管理员权限创建、删除权限查看权限列表或详情说明：创建权限需要同时授予子用户IAM ReadOnlyAccess权限（IAM服务的只读权限），用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限查看权限列表或详情 UCS ReadOnlyAccess + IAM ReadOnlyAccess 策略中心管理员权限启用策略中心创建、停用策略实例查看策略列表查看策略实施详情 UCS FullAccess 只读权限对于已启用策略中心的舰队和集群，拥有该权限的用户可以查看策略列表和查看策略实施详情。 UCS CommonOperations 或 UCS ReadOnlyAccess 服务网格管理员权限应用服务网格的所有权限，包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 CCE Administrator 流量分发管理员权限创建流量策略、暂停调度策略、删除调度策略等操作。（推荐）UCS CommonOperations + DNS Administrator 或 UCS FullAccess + DNS Administrator 只读权限查看流量策略列表或详情 UCS ReadOnlyAccess + DNS Administrator 容器智能分析管理员权限接入、取消接入集群查看基础设施、应用负载等多维度监控数据 UCS CIAOperations 云原生服务中心管理员权限云原生服务中心的所有权限，包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 UCS FullAccess 只读权限云原生服务中心的只读权限，包括查看服务列表或详情、查看实例列表或详情等操作。 UCS ReadOnlyAccess

华为云UCS 权限相关

CODEARTS API-IAM账号进入CodeArts API首页报错

IAM账号进入CodeArts API首页报错 IAM账号首次进入CodeArts API首页报错，需要给IAM账号进行授权。 CodeArts API支持的系统权限如下： DevCloud Console ReadOnlyAccess：软件开发生产线控制台只读权限，授权后可正常使用CodeArts API产品，但不可创建项目。 DevCloud Console FullAccess：软件开发生产线控制台管理员权限，拥有该权限的用户可以购买CodeArts。 ProjectMan ConfigOperations：设置新建项目权限。详细授权操作请参照授权IAM账号。父主题：权限相关

CODEARTS API 权限相关

板级EDA工具链云服务-如何给用户开通pEDA-Schematic的操作权限？:操作步骤

操作步骤登录pEDA-Schematic并进入管理中心。在管理中心页面，单击“成员管理”页签。在“成员管理”页面，单击“创建成员”。在“创建成员”页面，填写成员账号信息，参数说明请参见表1。表1 添加成员参数说明参数名称参数说明成员姓名成员的姓名，必填项。成员账号超级数据管理员为成员设置的账号，必填项。账号由两部分组成，账号的前半部分需要手动输入，后半部分默认为组织域名，例如：zhangsan01@abc.huaweiapaas.com。手机号成员的手机号码，可用于接收账号激活、身份验证等信息。非必填项，当邮箱地址未填写时手机号必须填写。邮箱地址成员的邮箱地址，可用于接收账号激活、身份验证等信息。非必填项，当手机号未填写时邮箱地址必须填写。设置密码超级数据管理员为成员设置的账号密码，必填项，支持选择“自动生成密码”或“手工输入密码”。手工输入的密码格式需满足以下要求：至少包含8个字符。至少含字母和数字，不能包含空格。说明：成员首次登录需修改密码。填写完成后，单击“保存”，弹出创建成员成功的提示。被添加的成员会收到设置新密码的短信或者邮件信息，需要按照短信或者邮件的提示设置新密码，并登录pEDA-Schematic才能激活账号。临时密码的有效期为7天，超过7天用户将无法使用临时密码进行激活账号操作。此时需要超级数据管理员先对账号进行重置密码操作，重置密码后系统将发送新的激活信息，用户使用新的激活信息完成激活操作，超级数据管理员重置密码操作请参见管理组织成员。图1 激活信息

板级EDA工具链云服务账号和权限相关

板级EDA工具链云服务-如何给用户开通pEDA-Schematic的操作权限？:操作步骤

操作步骤登录pEDA-Schematic并进入管理中心。在管理中心页面，单击“成员管理”页签。在“成员管理”页面，单击“创建成员”。在“创建成员”页面，填写成员账号信息，参数说明请参见表1。表1 添加成员参数说明参数名称参数说明成员姓名成员的姓名，必填项。成员账号超级数据管理员为成员设置的账号，必填项。账号由两部分组成，账号的前半部分需要手动输入，后半部分默认为组织域名，例如：zhangsan01@abc.huaweiapaas.com。手机号成员的手机号码，可用于接收账号激活、身份验证等信息。非必填项，当邮箱地址未填写时手机号必须填写。邮箱地址成员的邮箱地址，可用于接收账号激活、身份验证等信息。非必填项，当手机号未填写时邮箱地址必须填写。设置密码超级数据管理员为成员设置的账号密码，必填项，支持选择“自动生成密码”或“手工输入密码”。手工输入的密码格式需满足以下要求：至少包含8个字符。至少含字母和数字，不能包含空格。说明：成员首次登录需修改密码。填写完成后，单击“保存”，弹出创建成员成功的提示。被添加的成员会收到设置新密码的短信或者邮件信息，需要按照短信或者邮件的提示设置新密码，并登录pEDA-Schematic才能激活账号。临时密码的有效期为7天，超过7天用户将无法使用临时密码进行激活账号操作。此时需要超级数据管理员先对账号进行重置密码操作，重置密码后系统将发送新的激活信息，用户使用新的激活信息完成激活操作，超级数据管理员重置密码操作请参见管理组织成员。图1 激活信息

板级EDA工具链云服务账号和权限相关

云服务器内容精选

权限相关

7*24

备案

专业服务

退订

建议反馈

售前咨询热线