操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LTS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于LTS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下LTS的相关操作。 表1 LTS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 lts:logGroup:deleteLogGroup 授予权限以删除指定日志组。 write logGroup * - lts:logGroup:listLogGroup 授予权限以查询日志组列表。 list - - lts:logGroup:createLogGroup 授予权限以创建日志组。 write - - lts:logGroup:updateLogGroup 授予权限以修改指定日志组。 write logGroup * - lts:logStream:listLogStream 授予权限以查询日志流列表。 list logGroup * - lts:logStream:deleteLogStream 授予权限以删除指定日志流。 write logStream * - lts:logStream:createLogStream 授予权限以创建日志流。 write logGroup * - lts:logStream:searchLog 授予权限以查询日志。 list logStream * - lts:logStream:searchStructLog 授予权限以查询结构化日志。 list logStream * - lts:logStream:searchLogHistogram 授予权限以查询日志直方图。 list logStream * - lts:transfer:createTransfer 授予权限以创建转储任务。 write - - lts:transfer:deleteTransfer 授予权限以删除转储任务。 write transfer * - lts:transfer:listTransfer 授予权限以查询日志转储任务列表。 list - - lts:transfer:updateTransfer 授予权限以修改转储任务。 write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。 write - - lts:configCenter:updateOverCollectSwitch 授予权限以修改超额采集开关。 write - - lts:structConfig:createStructConfig 授予权限以创建LTS结构化配置。 write logStream * - lts:structConfig:deleteStructConfig 授予权限以删除LTS结构化配置。 write logStream * - lts:structConfig:getStructConfig 授予权限以查询LTS结构化配置。 read logStream * - lts:structConfig:listStructTemplate 授予权限以查询结构化模板列表。 list - - lts:structConfig:updateStructConfig 授予权限以修改LTS结构化配置。 write logStream * - lts:mappingRule:create 授予权限以创建映射规则。 write - - lts:mappingRule:delete 授予权限以删除映射规则。 write - - lts:mappingRule:get 授予权限以查看映射规则详情。 read - - lts:mappingRule:list 授予权限以查询映射规则列表。 list - - lts:mappingRule:update 授予权限以修改映射规则。 write - - lts:logStream:getHistorySql 授予权限以查看日志流历史sql。 read logStream * - lts:alarmRule:createSqlAlarmRule 授予权限以创建sql告警规则的规则。 write - - lts:alarmRule:deleteSqlAlarmRule 授予权限以删除sql告警规则。 write alarmRule * - lts:alarmRule:updateSqlAlarmRule 授予权限以修改sql告警规则。 write alarmRule * - lts:alarmRule:listSqlAlarmRule 授予权限以查看sql告警规则。 list - - lts:alarmRule:createWordAlarmRule 授予权限以创建关键词告警规则。 write - - lts:alarmRule:deleteWordAlarmRule 授予权限以删除关键词告警规则。 write alarmRule * - lts:alarmRule:updateWordAlarmRule 授予权限以修改关键词告警规则。 write alarmRule * - lts:alarmRule:listWordAlarmRule 授予权限以查看关键词告警规则。 list - - lts:alarm:cleanAlarm 授予权限以删除告警。 write - - lts:alarm:listAlarm 授予权限以查看警列表。 list - - lts:logStream:listChart 授予权限以查询日志流图表。 list - - lts:alarmNoticeTemplate:create 授予权限以创建告警通知模板。 write - - lts:alarmNoticeTemplate:update 授予权限以修改告警通知模板。 write - - lts:alarmNoticeTemplate:delete 授予权限以删除告警通知模板。 write - - lts:alarmNoticeTemplate:list 授予权限以查询告警通知模板列表。 list - - lts:alarmNoticeTemplate:get 授予权限以查询告警通知模板详情。 read - - lts:hostGroup:create 授予权限以创建主机组。 write - - lts:hostGroup:delete 授予权限以删除主机组。 write hostGroup * - lts:host:list 授予权限以查询主机列表。 list - - lts:hostGroup:list 授予权限以查询主机组列表。 list accessConfig * - lts:hostGroup:update 授予权限以修改主机组。 write hostGroup * - lts:accessConfig:create 授予权限以创建日志接入。 write logStream * - lts:accessConfig:delete 授予权限以删除日志接入。 write accessConfig * - lts:accessConfig:list 授予权限以查询日志接入列表。 list - - lts:accessConfig:update 授予权限以修改日志接入。 write accessConfig * - hostGroup - lts:tag:create 授予权限以创建标签。 write - - lts:tag:delete 授予权限以删除标签。 write - - lts:logStream:createQuickQuery 授予权限以创建快速查询。 write logStream * - lts:logStream:deleteQuickQuery 授予权限以删除快速查询。 write logStream * - lts:logStream:listQuickQuery 授予权限以查询快速查询列表。 list logGroup * - lts:logFavorite:create 授予权限以创建日志收藏。 write logStream * - lts:logFavorite:delete 授予权限以删除日志收藏。 write - - lts:dashboardGroup:create 授予权限以创建仪表盘分组。 write - - lts:dashboard:create 授予权限以创建仪表盘。 write - - lts:trafficStatistic:get 授予权限以获取资源统计详情。 read - - lts:tokenizer:get 授予权限以获取已配置的分词符。 read - - lts:tokenizer:create 授予权限以保存分词符。 write - - lts:tokenizer:preview 授予权限以预览分词符。 read - - lts:usageAlarm:update 授予权限以打开或者关闭使用量预警。 write - - lts:csvTable:list 授予权限以获取关联数据源配置信息表。 list - - lts:csvTable:upload 授予权限以上传csv文件。 write - - lts:csvTable:get 授予权限以预览关联数据和查看关联数据源信息。 read - - lts:csvTable:create 授予权限以创建关联数据源。 write - - lts:csvTable:update 授予权限以更新关联数据源。 write - - lts:csvTable:delete 授予权限以删除关联数据源。 write - - lts:scheduledSql:create 授予权限以创建定时sql。 write - - lts:scheduledSql:delete 授予权限以删除定时sql。 write - - lts:scheduledSql:update 授予权限以修改定时sql。 write - - lts:scheduledSql:list 授予权限以获取定时sql列表。 list - - lts:scheduledSql:get 授予权限以获取定时sql详情。 read - - lts:scheduledSql:retry 授予权限以重试执行实例。 write - - lts:transfer:getDisList 授予权限以获取Dis通道列表。 list - - lts:transfer:listKafkaInstance 授予权限以获取kafka列表。 list - - lts:transfer:updateKafkaInstance 授予权限以更新kafka信息。 write - - lts:transfer:deleteKafkaInstance 授予权限以删除kafka信息。 write - - lts:transfer:listKafkaAuthorization 授予权限以查询用户配置kafka授权列表。 list - - lts:transfer:createKafkaAuthorization 授予权限以增加用户配置kafka授权列表。 write - - lts:transfer:deleteKafkaAuthorization 授予权限以删除用户配置kafka授权列表。 write - - lts:transfer:getTransfer 授予权限以获取转储任务的信息。 read transfer * - lts:transfer:getDwsInfo 授予权限以查询租户的dws信息。 read - - lts:transfer:registerDwsCluster 授予权限以注册dws集群。 write - - lts:hostGroup:getHost 授予权限以通过查询条件获取所有主机。 read - - lts:hostGroup:get 授予权限以通过查询条件获取单个主机组加入的所有配置。 read - - lts:accessConfig:get 授予权限以获取单个采集配置。 read accessConfig * - lts:logFavorite:list 授予权限以获取收藏列表。 list - - lts:logFavorite:update 授予权限以修改收藏。 write logStream * - lts:logGroup:getLogGroup 授予权限以查询日志组。 read logGroup * - lts:IndexConfig:list 授予权限以查询索引。 list logGroup * - lts:IndexConfig:create 授予权限以创建索引。 write logGroup * - lts:structConfig:listStructConfig 授予权限以获取日志流结构化信息。 list logStream * - lts:logStream:updateLogStream 授予权限以修改日志流。 write logStream * - lts:logStream:getRealtimeLog 授予权限以获取实时日志。 read logStream * - lts:logStream:getLogStream 授予权限以查询日志流信息。 read logStream * - lts:logStream:createLogFilterRules 授予权限以创建日志清洗规则。 write logStream * - lts:logStream:updateLogFilterRules 授予权限以修改日志清洗规则。 write logStream * - lts:logStream:deleteLogFilterRules 授予权限以删除日志清洗规则。 write logStream * - lts:logStream:listLogFilterRules 授予权限以查询日志清洗规则。 list logStream * - lts:logStream:getQuickQuery 授予权限以查看快速查询。 list logStream * - lts:logStream:updateQuickQuery 授予权限以修改快速查询。 write logStream * - lts:logStream:searchLogContext 授予权限以查询日志上下文。 read logStream * - lts:structConfig:getCustomTemplate 授予权限以查询用户自定义模板。 read - - lts:structConfig:createCustomTemplate 授予权限以创建用户自定义模板。 write - - lts:structConfig:updateCustomTemplate 授予权限以修改用户自定义模板。 write - - lts:structConfig:deleteCustomTemplate 授予权限以删除用户自定义模板。 write - - lts:structConfig:listCustomTemplate 授予权限以查询用户自定义模板列表。 read - - lts:structConfig:smartExtra 授予权限以智能提取结构化字段。 write - - lts:logStream:getAggrResult 授予权限以获取快速分析结果。 read logStream * - lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:logStream:getQuickAnalysisAggValue 授予权限以获取数值类型的快速分析结果。 read logStream * - lts:logStream:getWordFreqConfig 授予权限以查询用户已创建的快速分析字段。 read logStream * - lts:logStream:refreshWordFreqConfig 授予权限以修改快速分析字段。 write logStream * - lts:logCrux:list 授予权限以查询日志聚类信息。 list - - lts:logCrux:get 授予权限以获取日志聚类开关信息。 read - - lts:logCrux:enable 授予权限以开启日志聚类开关。 write - - lts:logCrux:disable 授予权限以关闭日志聚类开关。 write - - lts:logStream:updateChart 授予权限以更新用户日志看板。 write - - lts:logStream:createChart 授予权限以创建用户日志看板。 write - - lts:logStream:deleteChart 授予权限以删除用户日志看板。 write logStream * - lts:logStream:getChart 授予权限以获取用户日志看板。 read logStream * - lts:dashboard:deleteChart 授予权限以删除图表。 write dashboard * - lts:dashboard:listCharts 授予权限以展示仪表盘层级的图表。 list - - lts:dashboard:updateChart 授予权限以移动图表。 write dashboard * - lts:dashboard:getDashboard 授予权限以查询用户日志仪表盘。 read - - lts:dashboardGroup:getDashboardsGroup 授予权限以查询用户日志仪表盘分组。 read - - lts:dashboardGroup:updateDashboardsGroup 授予权限以修改用户日志仪表盘分组。 write - - lts:dashboardGroup:deleteDashboardsGroup 授予权限以更新用户日志仪表盘分组。 write - - lts:dashboard:CreateDashBoard 授予权限以根据日志仪表盘模板批量创建仪表盘。 write - - lts:dashboard:CreateDashBoardTemplate 授予权限以创建用户日志仪表盘模板。 write - - lts:dashboard:getDashBoardTemplate 授予权限以查询用户日志仪表盘模板。 read - - lts:dashboard:updateDashBoardTemplate 授予权限以修改用户日志仪表盘模板。 write - - lts:dashboard:deleteDashBoardTemplate 授予权限以删除用户日志仪表盘模板。 write - - lts:dashboardGroup:createLogDashboardTemplateGroup 授予权限以创建仪表盘模板分组。 write - - lts:dashboardGroup:updateLogDashboardTemplateGroup 授予权限以修改仪表盘模板分组。 write - - lts:dashboardGroup:deleteLogDashboardTemplateGroup 授予权限以删除用户日志仪表盘模板分组。 write - - lts:dashboard:listFilter 授予权限以查询仪表盘过滤器。 list dashboard * - lts:dashboard:createFilter 授予权限以创建仪表盘过滤器。 write dashboard * - lts:dashboard:updateFilter 授予权限以修改仪表盘过滤器。 write dashboard * - lts:dashboard:deleteFilter 授予权限以删除仪表盘过滤器。 write dashboard * - lts:alarmRule:listAlarmRules 授予权限以查询告警规则列表。 list - - lts:alarmRule:getKeywordsAlarmRule 授予权限以查询关键词告警规则。 read alarmRule * - lts:alarmRule:getSqlAlarmRule 授予权限以查询sql告警规则。 read alarmRule * - lts:alarm:listAlarmStatistic 授予权限以查询sql告警数据。 list - - lts:dashboard:update 授予权限以修改用户日志仪表盘。 write - - lts:dashboard:delete 授予权限以删除用户日志仪表盘。 write - - lts:logSearch:list 授予权限以获取集群列表，命名空间，组件，实例，日志，节点，日志文件页面组件列表，文件列表。 list - - lts:logSearch:getTime 授予权限以获取后端节点当前时间。 read - - lts:logSearch:getLogContext 授予权限以获取日志上下文。 read - - lts:logSearch:exportLogs 授予权限以下载日志。 write - - lts:ageingTime:get 授予权限以获取配额管理。 list - - lts:ageingTime:update 授予权限以修改配额管理。 write - - lts:logConfigPath:list 授予权限以查询VM日志路径配置。 list - - lts:logConfigPath:create 授予权限以新建VM日志路径配置。 write - - lts:structRule:get 授予权限以获取结构化规则。 read - - lts:structRule:create 授予权限以创建结构化规则。 write - - lts:structRule:delete 授予权限以删除结构化规则。 write - - lts:structRule:regex 授予权限以结构化提取。 write - - lts:logPail:list 授予权限以查询日志桶、桶内日志和日志柱状图。 list - - lts:structSql:list 授予权限以查询结构化日志。 list - - lts:logPail:create 授予权限以添加日志桶。 write - - lts:logPail:update 授予权限以修改日志桶。 list - - lts:logPail:delete 授予权限以删除日志桶。 write - - lts:storageRelation:list 授予权限以查询当前租户下的转储关系。 list - - lts:storageRelation:delete 授予权限以删除当前租户下的转储关系。 write - - lts:storage:batchAction 授予权限以周期性批量启停。 write - - lts:logPailDump:create 授予权限以添加日志转储。 write - - lts:statisticsRule:list 授予权限以查询统计规则。 list - - lts:statisticsRule:create 授予权限以创建统计规则。 write - - lts:statisticsRule:update 授予权限以修改统计规则。 write - - lts:statisticsRule:delete 授予权限以删除统计规则。 write - - lts:transfer:listKafkaInstanceTopic 授予权限以获取用户kafka所有topic。 list - - lts:logPackage:create 授予权限以购买资源包。 write - - lts:consumerGroup:create 授予权限以创建消费组。 write - - lts:consumerGroup:delete 授予权限以删除消费组。 write - - lts:consumerGroup:list 授予权限以查询消费组列表。 list - - lts:consumerGroup:get 授予权限以查询消费组详情。 read - - lts:consumerGroup:update 授予权限以修改消费组。 write - - lts:logStream:get 授予权限以获取日志流详情。 read - - lts:agency:listGroupAndStream 授予权限以获取委托方日志组日志流列表。 list - - lts:agency:listEps 授予权限以获取委托方EPS列表。 list - - lts:agency:listStructConfig 授予权限以获取委托方结构化配置。 list - - lts:logConverge:get 授予权限以获取多账号日志汇聚配置。 read - - lts:logConverge:update 授予权限以更新多账号日志汇聚配置。 write - - lts:logManager:createAggr 授予权限以创建快速分析聚合器。 write logStream * - lts:logManager:createAggrs 授予权限以批量创建快速分析聚合器。 write logStream * - lts:logManager:deleteAggr 授予权限以删除快速分析聚合器。 write logStream * - lts:logManager:deleteAggrs 授予权限以批量删除快速分析聚合器。 write logStream * - lts:logmanager:createLogFilter 授予权限以创建日志清洗规则。 write logStream * - lts:logmanager:listLogFilters 授予权限以查看日志清洗规则。 read logStream * - lts:logmanager:updateLogFilters 授予权限以修改日志清洗规则。 write logStream * - lts:logmanager:deleteLogFilters 授予权限以删除日志清洗规则。 write logStream * - lts:structConfig:regex 授予权限以正则结构化示例日志。 write - - LTS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/groups lts:logGroup:createLogGroup - DELETE /v2/{project_id}/groups/{log_group_id} lts:logGroup:deleteLogGroup - GET /v2/{project_id}/groups lts:logGroup:listLogGroup - POST /v2/{project_id}/groups/{log_group_id} lts:logGroup:updateLogGroup - POST /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:createLogStream - PUT /v2/{project_id}/groups/{log_group_id}/streams-ttl/{log_stream_id} lts:logStream:updateLogStream - DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} lts:logStream:deleteLogStream - GET /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:listLogStream - GET /v2/{project_id}/log-streams lts:logStream:listLogStream - POST /v2/{project_id}/lts/keyword-count lts:logStream:searchLogHistogram - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query lts:logStream:searchLog - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/log-dump/obs lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:HeadBucket POST /v2/{project_id}/transfers lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list DELETE /v2/{project_id}/transfers lts:transfer:deleteTransfer - GET /v2/{project_id}/transfers lts:transfer:listTransfer - POST /v2/{project_id}/lts/dms/kafka-instance lts:transfer:registerDmsKafkaInstance dms:instance:list PUT /v2/{project_id}/transfers lts:transfer:updateTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list POST /v2/{project_id}/collection/disable lts:configCenter:updateOverCollectSwitch - POST /v2/{project_id}/collection/enable lts:configCenter:updateOverCollectSwitch - POST /v3/{project_id}/lts/struct/template lts:structConfig:createStructConfig - POST /v2/{project_id}/lts/struct/template lts:structConfig:createStructConfig - DELETE /v2/{project_id}/lts/struct/template lts:structConfig:deleteStructConfig - GET /v3/{project_id}/lts/struct/customtemplate/list lts:structConfig:listStructTemplate - GET /v3/{project_id}/lts/struct/customtemplate lts:structConfig:listStructTemplate - GET /v2/{project_id}/lts/struct/template lts:structConfig:getStructConfig - PUT /v3/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - PUT /v2/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - POST /v2/{project_id}/lts/aom-mapping lts:mappingRule:create - DELETE /v2/{project_id}/lts/aom-mapping lts:mappingRule:delete - GET /v2/{project_id}/lts/aom-mapping/{rule_id} lts:mappingRule:get - GET /v2/{project_id}/lts/aom-mapping lts:mappingRule:list - PUT /v2/{project_id}/lts/aom-mapping lts:mappingRule:update - GET /v2/{project_id}/lts/notifications/topics lts:alarmNoticeTemplate:list smn:topic:list POST /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:createSqlAlarmRule - DELETE /v2/{project_id}/lts/alarms/sql-alarm-rule/{sql_alarm_rule_id} lts:alarmRule:deleteSqlAlarmRule - GET /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:listSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/status lts:alarmRule:updateSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:updateSqlAlarmRule - POST /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:createWordAlarmRule - DELETE /v2/{project_id}/lts/alarms/keywords-alarm-rule/{keywords_alarm_rule_id} lts:alarmRule:deleteWordAlarmRule - GET /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:listWordAlarmRule - PUT /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:updateWordAlarmRule - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/clear lts:alarm:cleanAlarm - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/query lts:alarm:listAlarm - GET /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/charts lts:logStream:listChart - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:create - DELETE /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:delete - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates/view lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/template/{template_name} lts:alarmNoticeTemplate:get - PUT /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:update - POST /v3/{project_id}/lts/host-group lts:hostGroup:create - DELETE /v3/{project_id}/lts/host-group lts:hostGroup:delete - POST /v3/{project_id}/lts/host-list lts:host:list aom:icmgr:get aom:icmgr:list POST /v3/{project_id}/lts/host-group-list lts:hostGroup:list - PUT /v3/{project_id}/lts/host-group lts:hostGroup:update - POST /v3/{project_id}/lts/access-config lts:accessConfig:create - DELETE /v3/{project_id}/lts/access-config lts:accessConfig:delete - POST /v3/{project_id}/lts/access-config-list lts:accessConfig:list - PUT /v3/{project_id}/lts/access-config lts:accessConfig:update - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action lts:tag:create - POST /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:createQuickQuery - DELETE /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:deleteQuickQuery - GET /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:listQuickQuery - GET /v2/{project_id}/lts/history-sql lts:logStream:getHistorySql - GET /v1.0/{project_id}/lts/groups/{group_id}/search-criterias lts:logStream:listQuickQuery - POST /v1.0/{project_id}/lts/favorite lts:logFavorite:create - DELETE /v1.0/{project_id}/lts/favorite/{fav_res_id} lts:logFavorite:delete - POST /v2/{project_id}/dashboard lts:dashboard:create - POST /v2/{project_id}/lts/dashboard-group lts:dashboardGroup:create - POST /v2/{project_id}/lts/timeline-traffic-statistics lts:trafficStatistic:get - POST /v2/{project_id}/lts/topn-traffic-statistics lts:trafficStatistic:get -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如organizations:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Organizations定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Organizations支持的服务级条件键 服务级条件键 类型 单值/多值 说明 organizations:ServicePrincipal string 单值 根据指定的服务主体的名称过滤访问。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于TMS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于TMS定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下TMS的相关操作。 表1 TMS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 tms:predefineTags:list 授予权限以查询预定义标签列表。 list - - tms:predefineTags:create 授予权限以创建预定义标签。 write - - tms:predefineTags:update 授予权限以更新预定义标签。 write - - tms:predefineTags:delete 授予权限以删除预定义标签。 write - - tms:resourceTags:list 授予权限以查询资源标签列表。 list - - tms:resourceTags:create 授予权限以创建资源标签。 write - - tms:resourceTags:delete 授予权限以删除资源标签。 write - - tms:resources:list 授予权限以查询资源列表。 list - - tms:tagKeys:list 授予权限以查询标签key列表。 list - - tms:tagValues:list 授予权限以查询标签values列表。 list - - TMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1.0/predefine_tags tms:predefineTags:list - POST /v1.0/predefine_tags/action tms:predefineTags:create - PUT /v1.0/predefine_tags tms:predefineTags:update - POST /v1.0/predefine_tags/action tms:predefineTags:delete - GET /v2.0/resources/{resource_id}/tags tms:resourceTags:list - POST /v1.0/resource-tags/batch-create tms:resourceTags:create - POST /v1.0/resource-tags/batch-delete tms:resourceTags:delete - POST /v1.0/resource-instances/filter tms:resources:list - GET /v1.0/tag-keys tms:tagKeys:list - GET /v1.0/tag-values tms:tagValues:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如gaussdb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见运算符。 GaussDB 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表13 GaussDB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 gaussdb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。限定词选择“默认”。 gaussdb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。限定词选择“默认”。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于GaussDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中GaussDB支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于GaussDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB的相关操作。 表1 GaussDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdb:backup:createBackup 授予创建数据库实例手动备份的权限。 write instance - gaussdb:backup:deleteBackup 授予删除备份的权限。 write instance - gaussdb:backup:listAll 授予查询备份列表的权限。 list instance - gaussdb:instance:updateBackupPolicy 授予设置备份策略的权限。 write instance gaussdb:BackupEnabled gaussdb:param:applyParam 授予应用参数模板的权限。 write instance - gaussdb:tag:create 授予添加资源标签的权限。 tagging instance - gaussdb:instance:bindEIP 授予绑定弹性公网IP的权限。 write instance - gaussdb:instance:check 授予校验实例相关信息的权限。 read instance - gaussdb:instance:createInstance 授予创建数据库实例的权限。 write instance gaussdb:BackupEnabled gaussdb:Encrypted gaussdb:instance:createDatabase 授予创建数据库的权限。 write instance - gaussdb:instance:createDatabaseSchema 授予创建数据库Schema的权限。 write instance - gaussdb:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - gaussdb:instance:deleteInstance 授予删除数据库实例的权限。 write instance - gaussdb:instance:get 授予查询实例详情的权限。 read instance - gaussdb:instance:getBackupPolicy 授予查询自动备份策略的权限。 read instance - gaussdb:instance:getBalanceStatus 授予查询实例主备平衡状态的权限。 read instance - gaussdb:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - gaussdb:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read instance - gaussdb:instance:downloadSslCert 授予下载实例SSL证书的权限。 read instance - gaussdb:instance:grantDatabasePrivilege 授予授权数据库账号的权限。 write instance - gaussdb:instance:listAll 授予查询数据库实例列表的权限。 list instance - gaussdb:instance:listPublicIps 授予查询实例已绑定EIP列表的权限。 list instance - gaussdb:instance:listComponents 授予查询实例组件列表的权限。 list instance - gaussdb:instance:listDatabases 授予查询数据库列表的权限。 list instance - gaussdb:instance:listDatabaseUsers 授予查询数据库用户列表的权限。 list instance - gaussdb:tag:listAll 授予查询资源标签列表的权限。 list instance - gaussdb:quota:listAll 授予查询配额列表的权限。 list instance - gaussdb:instance:listRecoverableTimes 授予查询备份可恢复时间段的权限。 list instance - gaussdb:instance:listSchemas 授予查询数据库Schema列表的权限。 list instance - gaussdb:instance:renameInstance 授予重置实例名称的权限。 write instance - gaussdb:instance:resetPassword 授予重置数据库密码的权限。 write instance - gaussdb:instance:resizeFlavor 授予变更实例规格的权限。 write instance - gaussdb:instance:restartInstance 授予重启数据库实例的权限。 write instance - gaussdb:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write instance - gaussdb:instance:switchShard 授予分片节点主备切换的权限。 write instance - gaussdb:instance:extend 授予扩容相关操作的权限。 write instance - gaussdb:param:update 授予修改参数组的权限。 write instance - gaussdb:param:check 授予校验参数组的权限。 read instance - gaussdb:param:copy 授予复制参数模板的权限。 write instance - gaussdb:param:createParam 授予创建参数组的权限。 write instance - gaussdb:param:deleteParam 授予删除参数组的权限。 write instance - gaussdb:param:get 授予查询参数配置详情的权限。 read instance - gaussdb:param:compare 授予比较两个参数模板之间差异的权限。 read instance - gaussdb:param:listAll 授予查询参数组列表的权限。 list instance - gaussdb:param:reset 授予重置参数模板的权限。 write instance - gaussdb:quota:update 授予修改配额的权限。 write instance - gaussdb:task:listAll 授予查询任务列表的权限。 list instance - gaussdb:task:delete 授予删除任务记录的权限。 write instance - gaussdb:task:get 授予查询任务详情的权限。 read instance - GaussDB的API通常对应着一个或多个授权项。如下表展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 实例管理 权限 API 对应的授权项 依赖的授权项 创建数据库实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action gaussdb:instance:extend - 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} gaussdb:instance:delete - 查询数据库实例列表 GET /v3/{project_id}/instances gaussdb:instance:listAll - 重置数据库密码 POST /v3/{project_id}/instances/{instance_id}/password gaussdb:instance:resetPassword - 修改实例名称 PUT /v3/{project_id}/instances/{instance_id}/name gaussdb:instance:rename - 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/restart gaussdb:instance:restart - 分片节点主备切换 POST /v3/{project_id}/instances/{instance_id}/switch-shard gaussdb:instance:switchShard - 查询实例的组件列表 GET /v3/{project_id}/instances/{instance_id}/components gaussdb:instance:listComponents - 规格变更 PUT /v3/{project_id}/instance/{instance_id}/flavor gaussdb:instance:resizeFlavor - 查询实例主备平衡状态 GET /v3/{project_id}/instances/{instance_id}/balance gaussdb:instance:getBalanceStatus - 查询解决方案模板配置 GET /v3/{project_id}/deployment-form gaussdb:instance:listAll - 查询已绑定的EIP列表 GET /v3/{project_id}/instances/{instance_id}/public-ips?offset={offset}&limit={limit} gaussdb:instance:listPublicIps - 弱密码校验 POST /v3/{project_id}/weak-password-verification gaussdb:instance:check - 绑定/解绑弹性公网IP POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/public-ip gaussdb:instance:bindPublicIp - 查询实例SSL证书下载地址 GET /v3/{project_id}/instances/{instance_id}/ssl-cert/download-link gaussdb:instance:downloadSslCert - 查询租户的实例配额 GET /v3/{project_id}/project-quotas?type={type} gaussdb:quota:listAll - 表3 参数配置 权限 API 对应的授权项 依赖的授权项 获取参数模板列表 GET /v3/{project_id}/configurations?offset={offset}&limit={limit} gaussdb:param:listAll - 获取指定实例的参数 GET /v3/{project_id}/instances/{instance_id}/configurations gaussdb:instance:get - 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations gaussdb:param:update - 创建参数模板 POST /v3/{project_id}/configurations gaussdb:param:createParam - 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} gaussdb:param:delete - 查询参数模板详情 GET /v3/{project_id}/configurations/{config_id} gaussdb:param:get - 复制参数模板 POST /v3/{project_id}/configurations/{config_id}/copy gaussdb:param:copy - 重置参数组 POST /v3/{project_id}/configurations/{config_id}/reset gaussdb:param:reset - 比较两个参数组模板之间的差异 POST /v3/{project_id}/configurations/comparison gaussdb:param:compare - 查询可应用实例列表 GET /v3/{project_id}/configurations/{config_id}/applicable-instances gaussdb:instance:listAll - 校验参数组名称是否存在 GET /v3/{project_id}/configurations/name-validation?name={name} gaussdb:param:check - 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply gaussdb:param:apply - 查询参数模板的应用记录 GET /v3/{project_id}/configurations/{config_id}/applied-histories gaussdb:param:listAll - 查询参数模板的修改历史 GET /v3/{project_id}/configurations/{config_id}/histories gaussdb:param:listAll - 表4 备份管理 权限 API 对应的授权项 依赖的授权项 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:updateBackupPolicy - 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:getBackupPolicy - 查询备份列表 GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time} gaussdb:backup:listAll - 创建手动备份 POST /v3/{project_id}/backups gaussdb:backup:create - 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} gaussdb:backup:delete - 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time?date={date} gaussdb:instance:listRecoverableTimes - 恢复到新实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 查询可用于备份恢复的实例列表 GET /v3/{project_id}/restorable-instances gaussdb:instance:listAll - 根据时间点或者备份文件查询原实例信息 GET /v3/{project_id}/instance-snapshot?instance_id={instance_id}&backup_id={backup_id}&restore_time={restore_time} gaussdb:instance:get - 表5 引擎版本和规格 权限 API 对应的授权项 依赖的授权项 查询数据库引擎的版本 GET /v3/{project_id}/datastore/versions gaussdb:instance:listAll - 查询数据库规格 GET /v3/{project_id}/flavors?limit={limit}&offset={offset}&ha_mode={ha_mode}&version={version}&spec_code={spec_code} gaussdb:instance:listAll - 查询引擎列表 GET /v3/{project_id}/datastores gaussdb:instance:listAll - 查询实例可变更规格 GET /v3/{project_id}/instances/{instance_id}/available-flavors gaussdb:instance:listAll - 表6 管理数据库和用户 权限 API 对应的授权项 依赖的授权项 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database gaussdb:instance:createDatabase - 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-user gaussdb:instance:createDatabaseUser - 创建数据库SCHEMA POST /v3/{project_id}/instances/{instance_id}/schema gaussdb:instance:createDatabaseSchema - 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db-privilege gaussdb:instance:grantDatabasePrivilege - 重置数据库账号密码 PUT /v3/{project_id}/instances/{instance_id}/db-user/password gaussdb:instance:resetPassword - 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/databases gaussdb:instance:listDatabases - 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users gaussdb:instance:listDatabaseUsers - 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schemas gaussdb:instance:listSchemas - 表7 标签管理 权限 API 对应的授权项 依赖的授权项 查询实例标签 GET /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:listAll - 查询项目标签 GET /v3/{project_id}/tags gaussdb:tag:listAll - 查询预定义标签 GET /v3/{project_id}/predefined-tags gaussdb:tag:listAll - 添加实例标签 POST /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:create - 表8 磁盘管理 权限 API 对应的授权项 依赖的授权项 查询实例存储空间使用信息 GET /v3/{project_id}/instances/{instance_id}/volume-usage gaussdb:instance:getDiskUsage - 查询数据库磁盘类型 GET /v3/{project_id}/storage-type?version={version}&ha_mode={ha_mode} gaussdb:instance:listAll - 表9 配额管理 权限 API 对应的授权项 依赖的授权项 修改企业项目配额 PUT /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:update - 查询企业项目配额组 GET /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:listAll - 表10 任务管理 权限 API 对应的授权项 依赖的授权项 获取任务信息 GET /v3/{project_id}/jobs?id={id} gaussdb:task:get - 查询任务列表 GET /v3/{project_id}/tasks gaussdb:task:listAll - 删除任务记录 DELETE /v3/{project_id}/jobs/{job_id} gaussdb:task:delete - 表11 回收站 权限 API 对应的授权项 依赖的授权项 设置回收站策略 PUT /v3/{project_id}/recycle-policy gaussdb:instance:setRecyclePolicy - 查看回收站策略 GET /v3/{project_id}/recycle-policy gaussdb:instance:getRecyclePolicy - 查询回收站所有引擎实例列表 GET /v3/{project_id}/recycle-instances gaussdb:instance:listAll -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见全局条件键。 服务级条件键（前缀通常为服务缩写，如cbr:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 cbr定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 cbr支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cbr:TargetOrgPaths string 单值 cbr服务添加备份成员API请求中指定的目标账号所属的组织路径。 cbr:VaultId string 单值 根据请求参数中指定的存储库ID过滤访问。 cbr:PolicyId string 单值 根据请求参数中指定的策略ID过滤访问。 cbr:EnabledPolicy boolean 单值 根据策略是否开启过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cfw:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CFW定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CFW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cfw:LogGroupId string 单值 根据请求参数中指定的LTS日志组ID过滤访问。

操作（Action） 操作（Action）即为身份策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在身份策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于TaurusDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于TaurusDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下TaurusDB的相关操作。 表1 TaurusDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdbformysql:backup:modifyPolicy 授予设置自动备份策略的权限。 permission_management - - gaussdbformysql:param:delete 授予删除参数组的权限。 permission_management - - gaussdbformysql:instance:switchover 授予手动主备切换的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:auditlog:list 授予实例获取审计日志列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:backup:create 授予创建手动备份权限。 write - - gaussdbformysql:backup:delete 授予删除备份的权限。 write - - gaussdbformysql:backup:getRestoreTime 授予获取实例可恢复时间点的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:backup:list 授予获取备份列表的权限。 list - - gaussdbformysql:backup:listPolicy 授予获取备份策略的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:create 授予实例创建数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:delete 授予实例删除数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:list 授予实例查询数据库列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:modify 授予修改数据库相关信息的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:addReadOnlyNodes 授予添加只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:create 授予创建实例的权限。 write - g:EnterpriseProjectId gaussdbformysql:instance:delete 授予删除实例的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteSqlFilterRules 授予删除Sql限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:get 授予获取实例详情的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getDcc 授予获取专属资源池详情的权限。 read - - gaussdbformysql:instance:getSqlFilterRule 授予获取SQL限流规则的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getSqlFilterStatus 授予获取SQL限流开关状态的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:list 授予获取实例列表的权限。 list - - gaussdbformysql:proxy:list 授予获取数据库代理列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:proxy:listSpec 授予获取数据库代理规格列表的权限。 list - - gaussdbformysql:instance:listDcc 授予获取专属资源列表的权限。 list - - gaussdbformysql:instance:listEngine 授予查询引擎信息的权限。 list - - gaussdbformysql:instance:listSpec 授予查询规格列表的权限。 list - - gaussdbformysql:auditlog:operate 授予开启关闭审计日志的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:bindPublicIp 授予实例绑定公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteReadOnlyNodes 授予实例删除只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyVip 授予实例修改读写内网地址的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyMaintenanceWindow 授予修改实例运维时间窗的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecondLevelMonitorPolicy 授予修改实例秒级监控频率的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPassword 授予修改实例密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPort 授予修改实例端口的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecurityGroup 授予修改实例安全组的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySSL 授予修改SSL开关的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyStorageSize 授予实例磁盘扩缩容的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:rename 授予修改实例名称的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:unbindPublicIp 授予实例解绑公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:upgrade 授予实例升级内核版本的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:user:create 授予实例创建数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:addNodes 授予数据库代理节点扩容的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:create 授予开启数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:delete 授予关闭数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifySpec 授予数据库代理规格变更的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyWeight 授予修改数据库代理权重的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySpec 授予变更实例规格的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restart 授予重启实例的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restoreInPlace 授予备份恢复到已有实例的权限。 permission_management - - gaussdbformysql:instance:setSqlFilterRules 授予设置SQL限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:setSqlFilterStatus 授予开启/关闭SQL限流的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:tableRestore 授予PITR库表级恢复的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:tag:deal 授予添加/删除资源标签的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:log:getErrorLogs 授予获取错误日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:log:getSlowLogs 授予获取慢日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:param:apply 授予应用参数组的权限。 permission_management - - gaussdbformysql:param:create 授予创建参数组的权限。 write - - gaussdbformysql:param:get 授予获取参数组详情的权限。 read - - gaussdbformysql:param:list 授予获取参数组列表的权限。 list - - gaussdbformysql:param:update 授予修改参数组的权限。 write - - gaussdbformysql:proxy:modifyConsistency 授予修改数据库代理会话一致性的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyTransactionSplit 授予开启/关闭数据库代理事务拆分的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:quota:list 授予查询配额的权限。 read - - gaussdbformysql:quota:modify 授予修改配额的权限。 write - - gaussdbformysql:tag:list 授予查询标签列表的权限。 list - - gaussdbformysql:task:delete 授予删除任务的权限。 write - - gaussdbformysql:task:list 授予获取任务列表的权限。 list - - gaussdbformysql:user:delete 授予删除数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:grantPrivilege 授予修改数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:list 授予查询数据库用户列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:user:modify 授予查询数据库用户备注的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:revokePrivilege 授予删除数据库用户权限的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:updatePassWord 授予修改数据库用户密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:switchConnectionPoolType 授予更改数据库代理连接池类型的权限。 permission_management instance * g:EnterpriseProjectId TaurusDB的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v3/{project_id}/datastores/{database_name} gaussdbformysql:instance:listEngine - GET /v3/{project_id}/flavors/{database_name} gaussdbformysql:instance:listSpec - POST /v3/{project_id}/instances gaussdbformysql:instance:create - GET /v3.1/{project_id}/instances gaussdbformysql:instance:list - POST /v3/{project_id}/instances/{instance_id}/restart gaussdbformysql:instance:restart - DELETE /v3/{project_id}/instances/{instance_id} gaussdbformysql:instance:delete - GET /v3.1/{project_id}/instances/{instance_id} gaussdbformysql:instance:get - GET /v3.1/{project_id}/instances/details gaussdbformysql:instance:get - POST /v3/{project_id}/instances/{instance_id}/nodes/enlarge gaussdbformysql:instance:addReadOnlyNodes - DELETE /v3/{project_id}/instances/{instance_id}/nodes/{node_id} gaussdbformysql:instance:deleteReadOnlyNodes - POST /v3/{project_id}/instances/{instance_id}/volume/extend gaussdbformysql:instance:modifyStorageSize - PUT /v3/{project_id}/instances/{instance_id}/backups/policy/update gaussdbformysql:backup:modifyPolicy - PUT /v3/{project_id}/instances/{instance_id}/name gaussdbformysql:instance:rename - POST /v3/{project_id}/instances/{instance_id}/password gaussdbformysql:instance:modifyPassword - POST /v3/{project_id}/instances/{instance_id}/action gaussdbformysql:instance:modifySpec - GET /v3/{project_id}/dedicated-resources gaussdbformysql:instance:listDcc - GET /v3/{project_id}/dedicated-resource/{dedicated_resource_id} gaussdbformysql:instance:getDcc - POST /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:create - DELETE /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:delete - GET /v3/{project_id}/instances/{instance_id}/proxies gaussdbformysql:proxy:list - GET /v3/{project_id}/instances/{instance_id}/proxy/flavors gaussdbformysql:proxy:listSpec - POST /v3/{project_id}/instances/{instance_id}/proxy/enlarge gaussdbformysql:proxy:addNodes - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/flavor gaussdbformysql:proxy:modifySpec - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/weight gaussdbformysql:proxy:modifyWeight - POST /v3/{project_id}/instances/{instance_id}/proxy/transaction-split gaussdbformysql:proxy:modifyTransactionSplit - POST /v3.1/{project_id}/instances/{instance_id}/error-logs gaussdbformysql:log:getErrorLogs - POST /v3.1/{project_id}/instances/{instance_id}/slow-logs gaussdbformysql:log:getSlowLogs - GET /v3/{project_id}/project-quotas gaussdbformysql:quota:list - GET /v3/{project_id}/quotas gaussdbformysql:quota:list - POST /v3/{project_id}/quotas gaussdbformysql:quota:modify - PUT /v3/{project_id}/quotas gaussdbformysql:quota:modify - POST /v3/{project_id}/backups/create gaussdbformysql:backup:create - GET /v3/{project_id}/backups gaussdbformysql:backup:list - GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdbformysql:backup:listPolicy - GET /v3/{project_id}/configurations gaussdbformysql:param:list - POST /v3/{project_id}/configurations gaussdbformysql:param:create - DELETE /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:delete - GET /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:get - PUT /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:update - PUT /v3/{project_id}/configurations/{configuration_id}/apply gaussdbformysql:param:apply - GET /v3/{project_id}/instances/{instance_id}/tags gaussdbformysql:tag:list - GET /v3/{project_id}/tags gaussdbformysql:tag:list - POST /v3/{project_id}/instances/{instance_id}/tags/action gaussdbformysql:tag:deal - PUT /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:modifySecondLevelMonitorPolicy - GET /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:getSecondLevelMonitoringConfig - POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/restart gaussdbformysql:instance:restart - POST /v3/{project_id}/instance/{instance_id}/audit-log/switch gaussdbformysql:auditlog:operate - GET /v3/{project_id}/instance/{instance_id}/audit-log/switch-status gaussdbformysql:auditlog:list - GET /v3/{project_id}/jobs gaussdbformysql:task:list - POST /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:create - GET /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:list - DELETE /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:delete - PUT /v3/{project_id}/instances/{instance_id}/db-users/comment gaussdbformysql:user:modify - PUT /v3/{project_id}/instances/{instance_id}/db-users/password gaussdbformysql:user:updatePassWord - POST /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:grantPrivilege - DELETE /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:revokePrivilege - GET /v3/{project_id}/instances/{instance_id}/databases/charsets gaussdbformysql:database:list - POST /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:create - GET /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:list - DELETE /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:delete - PUT /v3/{project_id}/instances/{instance_id}/databases/comment gaussdbformysql:database:modify - POST /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:setSqlFilterStatus - GET /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:getSqlFilterStatus - PUT /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:setSqlFilterRules - GET /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:getSqlFilterRule - DELETE /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:deleteSqlFilterRules - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/session-consistence gaussdbformysql:proxy:modifyConsistency - GET /v3/{project_id}/immediate-jobs gaussdbformysql:task:list - GET /v3/{project_id}/scheduled-jobs gaussdbformysql:task:list - DELETE /v3/{project_id}/scheduled-jobs gaussdbformysql:task:delete - DELETE /v3/{project_id}/jobs/{job_id} gaussdbformysql:task:delete - POST /v3/{project_id}/instances/{instance_id}/db-upgrade gaussdbformysql:instance:upgrade - PUT /v3/{project_id}/instances/{instance_id}/ssl-option gaussdbformysql:instance:modifySSL - PUT /v3/{project_id}/instances/{instance_id}/public-ips/bind gaussdbformysql:instance:bindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/public-ips/unbind gaussdbformysql:instance:unbindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/switchover gaussdbformysql:instance:switchover - PUT /v3/{project_id}/instances/{instance_id}/ops-window gaussdbformysql:instance:modifyMaintenanceWindow - PUT /v3/{project_id}/instances/{instance_id}/security-group gaussdbformysql:instance:modifySecurityGroup - PUT /v3/{project_id}/instances/{instance_id}/internal-ip gaussdbformysql:instance:modifyVip - PUT /v3/{project_id}/instances/{instance_id}/port gaussdbformysql:instance:modifyPort - PUT /v3/{project_id}/instances/{instance_id}/alias gaussdbformysql:instance:rename - DELETE /v3/{project_id}/backups/{backup_id} gaussdbformysql:backup:delete - POST /v3.1/{project_id}/instances/{instance_id}/restore/tables gaussdbformysql:instance:tableRestore - POST /v3/{project_id}/instances/restore gaussdbformysql:instance:restoreInPlace - GET /v3/{project_id}/instances/{instance_id}/restore-time gaussdbformysql:backup:getRestoreTime - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/connection-pool-type gaussdbformysql:proxy:switchConnectionPoolType -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如bms:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 BMS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 BMS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 bms:KmsKeyId string 多值 根据请求参数中指定的加密密钥ID过滤访问。 bms:Flavorld string 多值 根据请求参数中指定的规格ID过滤访问。 bms:VpcId string 多值 根据请求参数中指定的网络ID过滤访问。 bms:SubnetId string 多值 根据请求参数中指定的子网ID过滤访问。 bms:ImageId string 单值 根据请求参数中指定的镜像ID过滤访问。 bms:SSHKeyPairName string 单值 按请求中的keyName参数筛选访问。 bms:AvailabilityZone string 单值 按请求中的availabilityZone参数筛选访问。 bms:VolumeType string 多值 根据云硬盘的类型过滤访问。 bms:VolumeId string 单值 根据指定的卷ID过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如elb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：条件键。 ELB定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ELB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 elb:AssociatePublicips boolean 单值 根据创建或修改负载均衡器时是否涉及创建或绑定公网操作筛选访问权限。若要完全限制弹性负载均衡器的公网访问，则需要同时使用弹性公网IP的相关Action进行策略管理。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cce:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CCE定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CCE支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cce:ClusterId string 单值 按照在请求中传递的集群ID筛选访问权限。 cce:nodeTransferSourceCluster string 单值 按照节点迁移的源集群ID筛选访问权限。 cce:nodeTransferTargetCluster string 单值 按照节点迁移的目的集群ID筛选访问权限。 cce:AssociatePublicIp string 单值 根据创建E CS 是否涉及自动创建EIP操作筛选访问权限。如果要限制集群绑定或解绑EIP操作权限，则需要使用cce:cluster:eipBinding这个action进行管控。 cce:VpcId string 单值 按照集群创建所选择的VPC筛选访问权限。 cce:SubnetId string 单值 按照集群/节点/节点池创建所选择的子网筛选访问权限。 cce:Subnets array 单值 按照节点池创建/更新所选择的多子网筛选访问权限。 cce:KmsKeys string 单值 按照节点/节点池创建所选择的磁盘加密KMS密钥筛选访问权限。

条件（Condition） 条件键概述 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如css:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CSS 支持的服务级条件键 CSS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CSS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 css:AssociatePublicIp boolean 单值 是否允许实例开启公网访问。 条件键示例 css:AssociatePublicIp 示例：禁止创建带EIP的CSS集群 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "css:cluster:create" ], "Condition": { "Bool": { "css:AssociatePublicIp": [ "true" ] } } } ] } 示例：禁止给CSS集群绑定EIP { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "css:publicIPAddress:associates", "css:publicKibana:open" ] } ] }

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如ga:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 GA定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 GA支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ga:RequestRegionId string 单值 按照在请求中传递的地域ID筛选访问权限。 ga:RequestResourceType string 单值 按照在请求中传递的资源类型筛选访问权限。 ga:RequestResourceId string 单值 按照在请求中传递的资源ID筛选访问权限。 ga:RequestIpAddress string 单值 按照在请求中传递的IP地址筛选访问权限。 ga:RequestDomainName string 单值 按照在请求中传递的 域名 筛选访问权限。 ga:RegionId string 单值 按照终端节点组的地域筛选访问权限。 ga:ResourceType string 单值 按照终端节点的资源类型筛选访问权限。 ga:ResourceId string 单值 按照终端节点的资源ID筛选访问权限。 ga:IpAddress string 单值 按照终端节点的IP地址筛选访问权限。 ga:DomainName string 单值 按照终端节点的域名筛选访问权限。

操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于AAD定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于AAD定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下AAD的相关操作。 表1 AAD支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - AAD的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v1/{project_id}/cad/alart/config aad:alarmConfig:create - POST /v1/cnad/alarm-config aad:alarmConfig:put - DELETE /v1/cnad/alarm-config aad:alarmConfig:delete - GET /v1/{project_id}/cad/alart/list aad:alarmConfig:get - GET /v1/cnad/alarm-config aad:alarmConfig:get - DELETE /v1/aad/certificate/del aad:certificate:delete - GET /v1/{project_id}/cad/domains/certificatelist aad:certificate:list - GET /v1/aad/certificate-details aad:certificate:list - POST /v1/{project_id}/cad/domains/certificate aad:certificate:set - POST /v1/aad/configs/lts/delete aad:dashboard:delete - GET /v1/{project_id}/cad/ddosinfo/events_type aad:dashboard:get - GET /v1/aad/configs/lts_region aad:dashboard:get - GET /v1/aad/configs/lts aad:dashboard:get - GET /v1/{project_id}/waf/event/timeline aad:dashboard:get - GET /v1/{project_id}/waf/event/request/peak aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/type aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source/num aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_pps aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_bps aad:dashboard:get - GET /v1/{project_id}/cad/instances/events aad:dashboard:get - GET /v1/{project_id}/cad/ddosinfo/peak aad:dashboard:get - POST /v1/aad/configs/lts aad:dashboard:set - POST /v1/{project_id}/aad/domains aad:domain:create - POST /v1/{project_id}/cad/domains/del aad:domain:delete - GET /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:get - GET /v1/{project_id}/cad/domains/ports aad:domain:list - GET /v1/{project_id}/cad/domains/name aad:domain:get - GET /v1/{project_id}/cad/domains/line/{enterprise_project_id} aad:domain:list - GET /v1/{project_id}/cad/domains/instances aad:domain:get - GET /v1/{project_id}/cad/domains/brief aad:domain:get - GET /v1/{project_id}/aad/domains/waf-list aad:domain:list - GET /v1/{project_id}/cad/domains aad:domain:list - POST /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:put - POST /v1/{project_id}/cad/domains/switch aad:domain:put - POST /v1/{project_id}/cad/domains/cnameDispatchSwitch aad:domain:put - POST /v1/{project_id}/cad/domains/cname/switch aad:domain:put - POST /v1/{project_id}/cad/instances/protocol_rule aad:forwardingRule:create - POST /v1/{project_id}/cad/instances/protocol_rule/import aad:forwardingRule:create - DELETE /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:delete - POST /v1/{project_id}/cad/instances/protocol_rule/batchdel aad:forwardingRule:delete - GET /v1/{project_id}/cad/instances/rules aad:forwardingRule:get - GET /v1/{project_id}/cad/instances/protocol_rule/export aad:forwardingRule:list - PUT /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:put - POST /v1/{project_id}/cad/instances/cad_open aad:instance:create - GET /v1/{project_id}/cad/products aad:instance:create - GET /v1/{project_id}/{resource_type}/{resource_id}/tags aad:instance:get - GET /v1/{project_id}/cad/upgradeproducts/{instance_id} aad:instance:get - GET /v1/{project_id}/cad/instances/detail/{instance_id} aad:instance:get - GET /v1/{project_id}/aad/instances/brief-list aad:instance:list - GET /v1/{project_id}/cad/sourceip aad:instance:list - GET /v1/{project_id}/cad/instances aad:instance:list - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action aad:instance:put - POST /v1/{project_id}/cad/instances/cad_spec_upgrade aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/name aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/elastic/{ip_id} aad:instance:put - POST /v1/{project_id}/aad/policies/waf/cc aad:policy:create - POST /v1/cnad/policies aad:policy:create - DELETE /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:delete - DELETE /v1/cnad/policies/{policy_id} aad:policy:delete - GET /v1/{project_id}/cad/flowblock aad:policy:get - GET /v1/cnad/policies/{policy_id} aad:policy:get - GET /v1/{project_id}/aad/policies/waf/cc aad:policy:list - GET /v1/cnad/policies aad:policy:list - PUT /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:put - POST /v1/{project_id}/cad/flowblock/udp aad:policy:put - POST /v1/{project_id}/cad/flowblock/foreign aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/add aad:policy:put - POST /v1/cnad/policies/{policy_id}/bind aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/delete aad:policy:put - POST /v1/cnad/policies/{policy_id}/unbind aad:policy:put - PUT /v1/cnad/policies/{policy_id} aad:policy:put - GET /v1/{project_id}/aad/quotas/domain-port aad:quotas:get - GET /v1/{project_id}/scc/waf/quota aad:quotas:get - GET /v1/{project_id}/cad/quotas aad:quotas:get - GET /v1/{project_id}/cad/ip/quotas aad:quotas:get - GET /v1/{project_id}/cad/bwlist/quota aad:quotas:get - GET /v1/{project_id}/aad/user-configs aad:quotas:get - POST /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:create - POST /v1/{project_id}/cad/bwlist/delete aad:whiteBlackIpRule:delete - GET /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:list - PUT /v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put - PUT /v1/cnad/packages/{package_id}/name aad:package:put - GET /v1/cnad/packages aad:package:list - GET /v1/cnad/packages/{package_id}/unbound-protected-ips aad:package:list - POST /v1/unblockservice/{domain_id}/unblock aad:block:put - GET /v1/unblockservice/{domain_id}/block-list aad:block:list - GET /v1/unblockservice/{domain_id}/unblock-quota-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/block-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/unblock-record aad:block:get - GET /v1/{project_id}/cad/instances/{instance_id}/elastic_count/{ip_id} aad:instance:get - GET /v1/{project_id}/cad/instances/{data_center}/elastic/{line}/{ip_id} aad:instance:get - GET /v1/aad/remain-vip-number aad:quotas:get - GET /v1/aad/instance/connection-num aad:dashboard:get - PUT /v1/{project_id}/cad/instances/{instance_id}/pp-switch aad:instance:put - GET /v1/aad-service/ces/{domain_id}/dims-info aad:instance:list - GET /v1/aad-service/ces/v2/{domain_id}/instances aad:instance:list - GET /v1/{project_id}/cad/instances/security-statistics aad:instance:list - GET /v1/aad/domain/instances/rules aad:domain:list - POST /v1/aad/policy/modify aad:policy:put - POST /v1/aad/geoip aad:policy:put - GET /v1/aad/geoip aad:policy:get - DELETE /v1/aad/geoip/{ruleId} aad:policy:delete - PUT /v1/aad/geoip/{ruleId} aad:policy:put - POST /v1/aad/whiteip aad:policy:put - GET /v1/aad/whiteip aad:policy:get - DELETE /v1/aad/whiteip aad:policy:delete - POST /v1/aad/custom aad:policy:put - GET /v1/aad/custom aad:policy:get - PUT /v1/aad/custom/{ruleId} aad:policy:put - DELETE /v1/aad/custom/{ruleId} aad:policy:delete - GET /v1/aad/policy/details aad:policy:get - POST /v1/aad/cc/intelligent/modify aad:policy:put - GET /v1/aad/geoip/map aad:policy:get - GET /v1/aad/instances/{instance_id}/{ip}/ddos-statistics aad:dashboard:get - GET /v1/aad/protected-domains/{domain_id} aad:domain:get - GET /v1/aad/protected-domains aad:domain:list - PUT /v1/aad/protected-domains/{domain_id} aad:domain:put - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-create aad:forwardingRule:create - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-delete aad:forwardingRule:delete - GET /v1/aad/instances/{instance_id}/{ip}/rules aad:forwardingRule:list - PUT /v1/aad/instances/{instance_id}/{ip}/rules/{rule_id} aad:forwardingRule:put - GET /v1/aad/instances aad:instance:list -

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于SecMaster定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于SecMaster定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下SecMaster的相关操作。 表1 SecMaster支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 secmaster:playbook:get 授予权限获取剧本详情。 read playbook * - secmaster:playbook:create 授予权限创建剧本。 write playbook * - secmaster:playbook:delete 授予权限删除剧本。 write playbook * - secmaster:playbook:update 授予权限更新剧本。 write playbook * - secmaster:playbook:list 授予权限获取剧本列表。 list playbook * - secmaster:playbook:getStatistics 授予权限获取剧本统计数据。 read playbook * - secmaster:playbook:getMonitor 授予权限获取剧本运行监控数据。 read playbook * - secmaster:playbook:copyVersion 授予权限克隆剧本版本。 write playbook * - secmaster:playbook:approve 授予权限审核剧本。 write playbook * - secmaster:playbook:listApproves 授予权限查询审核列表。 list playbook * - secmaster:playbook:listInstances 授予权限查询实例列表。 list playbook * - secmaster:playbook:getInstanceAuditlog 授予权限查询实例审计日志列表。 list playbook * - secmaster:playbook:createVersion 授予权限创建剧本版本。 write playbook * - secmaster:playbook:createVersionRule 授予权限创建剧本版本规则。 write playbook * - secmaster:playbook:createVersionAction 授予权限创建剧本版本动作。 write playbook * - secmaster:playbook:getVersion 授予权限获取剧本版本。 read playbook * - secmaster:playbook:getVersionRule 授予权限获取剧本版本规则。 read playbook * - secmaster:playbook:deleteVersion 授予权限删除剧本版本。 write playbook * - secmaster:playbook:deleteVersionRule 授予权限删除剧本版本规则。 write playbook * - secmaster:playbook:deleteVersionAction 授予权限删除剧本版本动作。 write playbook * - secmaster:playbook:updateVersion 授予权限更新剧本版本。 write playbook * - secmaster:playbook:updateVersionRule 授予权限更新剧本版本规则。 write playbook * - secmaster:playbook:updateVersionAction 授予权限更新剧本版本动作。 write playbook * - secmaster:playbook:listVersions 授予权限获取剧本版本列表。 list playbook * - secmaster:playbook:listVersionActions 授予权限获取剧本版本动作列表。 list playbook * - secmaster:playbook:getInstance 授予权限查询实例详情。 read playbook * - secmaster:playbook:getInstanceTopology 授予权限查询实例拓扑详情。 read playbook * - secmaster:playbook:operateInstance 授予权限操作剧本实例。 write playbook * - secmaster:workflow:list 授予权限查询流程列表。 list workflow * - secmaster:workflow:get 授予权限获取流程的详情。 read workflow * - secmaster:workflow:delete 授予权限删除流程。 write workflow * - secmaster:workflow:create 授予权限创建流程。 write workflow * - secmaster:workflow:update 授予权限更新流程。 write workflow * - secmaster:workflow:listVersions 授予权限获取流程版本的列表。 list workflow * - secmaster:workflow:getVersion 授予权限获取流程的版本详情。 read workflow * - secmaster:workflow:deleteVersion 授予权限删除流程的版本。 write workflow * - secmaster:workflow:createVersion 授予权限创建流程版本。 write workflow * - secmaster:workflow:updateVersion 授予权限更新流程的版本。 write workflow * - secmaster:workflow:approveVersion 授予权限审核流程版本。 write workflow * - secmaster:workflow:validate 授予权限校验流程的版本。 write workflow * - secmaster:workflow:simulate 授予权限更新流程版本调试结果。 write workflow * - secmaster:workflow:getInstance 授予权限流程实例拓扑图。 read workflow * - secmaster:workflow:operateInstance 授予权限更新或创建流程实例。 write workflow * - secmaster:connection:list 授予权限查询资产连接列表。 list connection * - secmaster:connection:create 授予权限创建资产连接。 write connection * - secmaster:connection:get 授予权限获取资产连接详情。 read connection * - secmaster:connection:delete 授予权限删除资产连接。 write connection * - secmaster:connection:update 授予权限更新资产连接。 write connection * - secmaster:workspace:list 授予权限查询工作空间列表。 list workspace * - secmaster:workspace:create 授予权限创建工作空间。 write workspace * - secmaster:workspace:update 授予权限更新工作空间。 write workspace * - secmaster:workspace:get 授予权限获取工作空间详情。 read workspace * - secmaster:workspace:delete 授予权限删除工作空间。 write workspace * - secmaster:task:list 授予权限查询待办列表。 list task * - secmaster:task:create 授予权限创建待办。 write task * - secmaster:task:update 授予权限更新待办。 write task * - secmaster:task:get 授予权限获取待办详情。 read task * - secmaster:indicator:get 授予权限获取情报详情。 read indicator * - secmaster:indicator:create 授予权限创建情报。 write indicator * - secmaster:indicator:update 授予权限更新情报。 write indicator * - secmaster:indicator:delete 授予权限删除情报。 write indicator * - secmaster:indicator:list 授予权限查询情报列表。 read indicator * - secmaster:indicator:listTypes 授予权限查询情报类型列表。 list indicator * - secmaster:indicator:bindLayout 授予权限绑定情报类型与布局关联。 write indicator * - secmaster:alert:get 授予权限获取告警详情。 read alert * - secmaster:alert:create 授予权限创建告警。 write alert * - secmaster:alert:update 授予权限更新告警。 write alert * - secmaster:alert:list 授予权限搜索告警列表。 list alert * - secmaster:alert:delete 授予权限删除告警。 write alert * - secmaster:alert:batchOrders 授予权限告警转事件。 list alert * - secmaster:alert:listTypes 授予权限查询告警类型列表。 list alert * - secmaster:alert:listCategories 授予权限查询告警类别列表。 list alert * - secmaster:alert:createType 授予权限创建告警类型。 write alert * - secmaster:alert:updateType 授予权限修改告警类型。 write alert * - secmaster:alert:deleteType 授予权限删除告警类型。 write alert * - secmaster:alert:enableType 授予权限启用/禁用告警类型。 write alert * - secmaster:alert:bindLayout 授予权限绑定告警类型与布局关联。 write alert * - secmaster:incident:get 授予权限获取事件详情。 read incident * - secmaster:incident:create 授予权限创建事件。 write incident * - secmaster:incident:update 授予权限更新事件。 write incident * - secmaster:incident:list 授予权限搜索事件列表。 list incident * - secmaster:incident:listTypes 授予权限获取事件的类型列表。 list incident * - secmaster:incident:delete 授予权限删除事件。 write incident * - secmaster:incident:listCategories 授予权限查询事件类别列表。 list incident * - secmaster:incident:createType 授予权限创建事件类型。 write incident * - secmaster:incident:updateType 授予权限修改事件类型。 write incident * - secmaster:incident:deleteType 授予权限删除事件类型。 write incident * - secmaster:incident:enableType 授予权限启用/禁用事件类型。 write incident * - secmaster:incident:bindLayout 授予权限绑定事件类型与布局的关联。 write incident * - secmaster:dataobject:createRelation 授予权限创建对象关系。 write dataobject * - secmaster:dataobject:deleteRelation 授予权限删除对象关系。 write dataobject * - secmaster:dataobject:listRelation 授予权限搜索对象关系列表。 list dataobject * - secmaster:vulnerability:listGroup 授予权限查询漏洞组列表。 list vulnerability * - secmaster:vulnerability:getGroup 授予权限获取漏洞组详情。 read vulnerability * - secmaster:vulnerability:exportGroup 授予权限导出漏洞组列表。 list vulnerability * - secmaster:vulnerability:listType 授予权限查询漏洞类型列表。 list vulnerability * - secmaster:vulnerability:bindLayout 授予权限绑定漏洞类型与布局关联。 write vulnerability * - secmaster:vulnerability:createType 授予权限创建漏洞类型。 write vulnerability * - secmaster:vulnerability:updateType 授予权限修改漏洞类型。 write vulnerability * - secmaster:vulnerability:deleteType 授予权限删除漏洞类型。 write vulnerability * - secmaster:vulnerability:enableType 授予权限启用/禁用漏洞类型。 write vulnerability * - secmaster:subscription:deletePostPaidOrder 授予权限删除按需订单。 write - - secmaster:subscription:createPostPaidOrder 授予权限创建按需订单。 write - - secmaster:subscription:createPrePaidOrder 授予权限创建包周期订单。 write - - secmaster:subscription:getVersion 授予权限查看订购版本。 read - - secmaster:metric:getResult 授予权限查看指标结果。 read metric * - secmaster:metric:listResults 授予权限列出指标结果。 list metric * - secmaster:metric:listHits 授予权限列出指标Hits结果。 list metric * - secmaster:agency:get 授予权限查看委托。 read - - secmaster:agency:create 授予权限创建委托。 write - - secmaster:resource:getStatistics 授予权限查看资源统计。 read resource * - secmaster:resource:list 授予权限列出资源。 list resource * - secmaster:resource:import 授予权限导入资源。 write resource * - secmaster:resource:getTemplate 授予权限获取资源导入模板。 read resource * - secmaster:report:list 授予权限列出报告。 list report * - secmaster:report:get 授予权限查看报告。 read report * - secmaster:report:create 授予权限创建报告。 write report * - secmaster:report:update 授予权限更新报告。 write report * - secmaster:report:delete 授予权限删除报告。 write report * - secmaster:emergencyVulnerability:updateReadStatus 授予权限设置应急漏洞读取状态。 write emergencyVulnerability * - secmaster:emergencyVulnerability:list 授予权限列出应急漏洞。 list emergencyVulnerability * - secmaster:emergencyVulnerability:export 授予权限导出应急漏洞。 read emergencyVulnerability * - secmaster:dataspace:list 授予权限查询数据空间列表。 list dataspace * - secmaster:dataspace:create 授予权限创建数据空间。 write dataspace * - secmaster:dataspace:get 授予权限查询数据空间详情。 read dataspace * - secmaster:dataspace:update 授予权限更新数据空间。 write dataspace * - secmaster:dataspace:delete 授予权限删除数据空间。 write dataspace * - secmaster:pipe:list 授予权限查询数据管道列表。 list pipe * - secmaster:pipe:create 授予权限创建数据管道。 write pipe * - secmaster:pipe:get 授予权限查询数据管道详情。 read pipe * - secmaster:pipe:update 授予权限更新数据管道。 write pipe * - secmaster:pipe:delete 授予权限删除数据管道。 write pipe * - secmaster:pipe:getIndex 授予权限查询数据管道索引。 read pipe * - secmaster:pipe:updateIndex 授予权限更新数据管道索引。 write pipe * - secmaster:pipe:getConsumption 授予权限查询数据管道消费。 read pipe * - secmaster:pipe:createConsumption 授予权限创建数据管道消费。 write pipe * - secmaster:pipe:deleteConsumption 授予权限删除数据管道消费。 write pipe * - secmaster:search:listLogs 授予权限查询数据。 list workspace * - secmaster:search:listHistograms 授予权限查询数据分布直方图。 list workspace * - secmaster:search:createAnalysis 授予权限执行分析。 write workspace * - secmaster:searchCondition:list 授予权限查询检索条件列表。 list searchCondition * - secmaster:searchCondition:create 授予权限创建检索条件。 write searchCondition * - secmaster:searchCondition:get 授予权限查询检索条件详情。 read searchCondition * - secmaster:searchCondition:update 授予权限更新检索条件。 write searchCondition * - secmaster:searchCondition:delete 授予权限删除检索条件。 write searchCondition * - secmaster:alertRule:list 授予权限查询告警模型。 list alertRule * - secmaster:alertRule:create 授予权限创建告警模型。 write alertRule * - secmaster:alertRule:get 授予权限查询告警模型详情。 read alertRule * - secmaster:alertRule:update 授予权限修改告警模型。 write alertRule * - secmaster:alertRule:delete 授予权限删除告警模型。 write alertRule * - secmaster:alertRule:enable 授予权限启用告警模型。 write alertRule * - secmaster:alertRule:disable 授予权限停用告警模型。 write alertRule * - secmaster:alertRule:listMetrics 授予权限查询告警模型总览。 list alertRule * - secmaster:alertRule:createSimulation 授予权限模拟告警模型。 write alertRule * - secmaster:alertRuleTemplate:list 授予权限查询告警模板。 list alertRuleTemplate * - secmaster:alertRuleTemplate:get 授予权限查询告警模板详情。 read alertRuleTemplate * - secmaster:alertRuleTemplate:listMetrics 授予权限查询告警模板总览。 list alertRuleTemplate * - secmaster:dataclass:create 授予权限创建数据类。 write dataclass * - secmaster:dataclass:update 授予权限更新数据类。 write dataclass * - secmaster:dataclass:delete 授予权限删除数据类。 write dataclass * - secmaster:dataclass:get 授予权限获取数据类详情。 read dataclass * - secmaster:dataclass:list 授予权限查询数据类列表。 list dataclass * - secmaster:dataclass:createField 授予权限创建字段。 write dataclass * - secmaster:dataclass:updateField 授予权限更新字段。 write dataclass * - secmaster:dataclass:deleteField 授予权限删除字段。 write dataclass * - secmaster:dataclass:getField 授予权限获取字段详情。 read dataclass * - secmaster:dataclass:listFields 授予权限查询字段列表。 list dataclass * - secmaster:dataclass:getType 授予权限获取类型详情。 read dataclass * - secmaster:dataclass:listTypes 授予权限查询类型列表。 list dataclass * - secmaster:mapping:update 授予权限更新分类映射状态。 write mapping * - secmaster:mapping:list 授予权限搜索分类映射列表。 list mapping * - secmaster:mapping:getDatasource 授予权限获取分类映射数据源。 read mapping * - secmaster:mapping:listFunctions 授予权限获取分类映射函数。 list mapping * - secmaster:mapping:delete 授予权限删除分类映射。 write mapping * - secmaster:mapping:copy 授予权限复制分类映射。 write mapping * - secmaster:mapping:createClassifier 授予权限创建分类。 write mapping * - secmaster:mapping:updateClassifier 授予权限更新分类。 write mapping * - secmaster:mapping:getClassifier 授予权限获取分类信息。 read mapping * - secmaster:mapping:deleteClassifier 授予权限删除分类。 write mapping * - secmaster:mapping:createMapper 授予权限创建映射。 write mapping * - secmaster:mapping:updateMapper 授予权限更新映射。 write mapping * - secmaster:mapping:listMappers 授予权限查询映射列表。 list mapping * - secmaster:mapping:getMapper 授予权限获取映射信息。 read mapping * - secmaster:mapping:deleteMapper 授予权限删除映射。 write mapping * - secmaster:layout:listBusinessTypes 授予权限获取布局类型列表。 list layout * - secmaster:layout:list 授予权限查询布局列表。 list layout * - secmaster:layout:create 授予权限创建布局。 write layout * - secmaster:layout:delete 授予权限删除布局。 write layout * - secmaster:layout:update 授予权限更新布局。 write layout * - secmaster:layout:get 授予权限查询布局。 read layout * - secmaster:layout:createTemplate 授予权限另存为模板。 write layout * - secmaster:layout:createField 授予权限创建布局字段。 write layout * - secmaster:layout:listFields 授予权限获取布局字段列表。 list layout * - secmaster:layout:getField 授予权限获取布局字段详情。 read layout * - secmaster:layout:updateFiled 授予权限更新布局字段。 write layout * - secmaster:layout:deleteField 授予权限删除布局字段。 write layout * - secmaster:layout:listWizards 授予权限获取页面。 list layout * - secmaster:layout:createWizard 授予权限创建页面。 write layout * - secmaster:layout:getWizard 授予权限获取页面详情。 read layout * - secmaster:layout:deleteWizard 授予权限删除页面。 write layout * - secmaster:layout:updateWizard 授予权限更新页面。 write layout * - secmaster:catalogue:list 授予权限目录列表查询。 list catalogue * - secmaster:catalogue:update 授予权限更新目录。 write catalogue * - secmaster:playbook:export 授予权限导出剧本。 read playbook * - secmaster:playbook:import 授予权限导入剧本。 write playbook * - secmaster:indicator:downloadTemplate 授予权限下载指标模板。 read indicator * - secmaster:indicator:export 授予权限导出指标。 read indicator * - secmaster:indicator:import 授予权限导入指标。 write indicator * - secmaster:table:list 授予权限查询表。 list table * - secmaster:table:create 授予权限创建表。 write table * - secmaster:table:get 授予权限查询表详情。 read table * - secmaster:table:update 授予权限修改表。 write table * - secmaster:table:delete 授予权限删除表。 write table * - secmaster:table:createLock 授予权限锁止表。 write table * - secmaster:table:deleteLock 授予权限解锁表。 write table * - secmaster:table:listMetrics 授予权限查询表总览。 list table * - secmaster:table:updateSchema 授予权限设计表。 write table * - SecMaster的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks secmaster:playbook:create - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks secmaster:playbook:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/statistics secmaster:playbook:getStatistics - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/monitor secmaster:playbook:getMonitor - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/clone secmaster:playbook:copyVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/approve secmaster:playbook:approve - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/approval secmaster:playbook:listApproves - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances secmaster:playbook:listInstances - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/auditlogs secmaster:playbook:getInstanceAuditlog - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions secmaster:playbook:createVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules secmaster:playbook:createVersionRule - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions secmaster:playbook:createVersionAction - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:getVersion - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:getVersionRule - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:deleteVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:deleteVersionRule - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions/{action_id} secmaster:playbook:deleteVersionAction - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:updateVersion - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:updateVersionRule - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions/{action_id} secmaster:playbook:updateVersionAction - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/versions secmaster:playbook:listVersions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions secmaster:playbook:listVersionActions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id} secmaster:playbook:getInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id}/topology secmaster:playbook:getInstanceTopology - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id}/operation secmaster:playbook:operateInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows secmaster:workflow:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:get - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:delete - GET /v1/{project_id}/workspacesPOST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows secmaster:workflow:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions secmaster:workflow:listVersions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:getVersion - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:deleteVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions secmaster:workflow:createVersion - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:updateVersion - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id}/approval secmaster:workflow:approveVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/validation secmaster:workflow:validate - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id}/debug/result secmaster:workflow:simulate - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/instances/{instance_id}/topology secmaster:workflow:getInstance - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/instances secmaster:workflow:operateInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials secmaster:connection:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials secmaster:connection:create - GET /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:get - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:update - GET /v1/{project_id}/workspaces secmaster:workspace:list - POST /v1/{project_id}/workspaces secmaster:workspace:create - PUT /v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:update - GET /v1/{project_id}/workspaces/v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:get - DELETE /v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/tasks secmaster:task:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/tasks secmaster:task:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/tasks/{task_id} secmaster:task:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/tasks/{task_id} secmaster:task:get - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators secmaster:indicator:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:delete - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/search secmaster:indicator:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/types secmaster:indicator:listTypes - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/types/layout secmaster:indicator:bindLayout - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} secmaster:alert:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts secmaster:alert:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} secmaster:alert:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/search secmaster:alert:list - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/alerts secmaster:alert:delete - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/batch-order secmaster:alert:batchOrders - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:listTypes - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/category secmaster:alert:listCategories - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/{dataclass_type_id} secmaster:alert:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/enable secmaster:alert:enableType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/layout secmaster:alert:bindLayout - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} secmaster:incident:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents secmaster:incident:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} secmaster:incident:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/search secmaster:incident:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:listTypes - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/incidents secmaster:incident:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/category secmaster:incident:listCategories - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/{dataclass_type_id} secmaster:incident:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/incidents/enable secmaster:incident:enableType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/layout secmaster:incident:bindLayout - POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} secmaster:dataobject:createRelation - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} secmaster:dataobject:deleteRelation - POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type}/search secmaster:dataobject:listRelation - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/search secmaster:vulnerability:listGroup - GET /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/{vul_id} secmaster:vulnerability:getGroup - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/export secmaster:vulnerability:exportGroup - GET /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:listType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/layout secmaster:vulnerability:bindLayout - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/{dataclass_type_id} secmaster:vulnerability:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/enable secmaster:vulnerability:enableType - DELETE /v1/{project_id}/subscriptions/orders secmaster:subscription:deletePostPaidOrder - POST /v1/{project_id}/subscriptions/orders secmaster:subscription:createPostPaidOrder - POST /v1/{project_id}/subscriptions/orders/{order_id} secmaster:subscription:createPrePaidOrder - GET /v1/{project_id}/subscriptions/version secmaster:subscription:getVersion - GET /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/{metric_id}/result secmaster:metric:getResult - POST /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/results secmaster:metric:listResults - POST /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/hits secmaster:metric:listHits - GET /v1/{project_id}/agency secmaster:agency:get - POST /v1/{project_id}/agency secmaster:agency:create - GET /v1/{project_id}/workspaces/{workspace_id}/resource-statistics secmaster:resource:getStatistics - GET /v1/{project_id}/workspaces/{workspace_id}/resources secmaster:resource:list - POST /v1/{project_id}/workspaces/{workspace_id}/sa/resources/import secmaster:resource:import - GET /v1/{project_id}/workspaces/{workspace_id}/sa/resource/template secmaster:resource:getTemplate - GET /v1/{project_id}/workspaces/{workspace_id}/sa/reports secmaster:report:list - GET /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:get - POST /v1/{project_id}/workspaces/{workspace_id}/sa/reports secmaster:report:create - PUT /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:delete - POST /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/read-status secmaster:emergencyVulnerability:updateReadStatus - GET /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/list secmaster:emergencyVulnerability:list - GET /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/export secmaster:emergencyVulnerability:export - GET /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces secmaster:dataspace:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces secmaster:dataspace:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes secmaster:pipe:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes secmaster:pipe:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/index secmaster:pipe:getIndex - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/index secmaster:pipe:updateIndex - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:getConsumption - POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:createConsumption - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:deleteConsumption - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/logs secmaster:search:listLogs - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/histograms secmaster:search:listHistograms - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/analysis secmaster:search:createAnalysis - GET /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions secmaster:searchCondition:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions secmaster:searchCondition:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} secmaster:alertRule:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} secmaster:alertRule:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:delete - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/enable secmaster:alertRule:enable - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/disable secmaster:alertRule:disable - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/metrics secmaster:alertRule:listMetrics - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation secmaster:alertRule:createSimulation - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates secmaster:alertRuleTemplate:list - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates/{template_id} secmaster:alertRuleTemplate:get - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates/metrics secmaster:alertRuleTemplate:listMetrics - POST /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses secmaster:dataclass:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:get - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses secmaster:dataclass:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:createField - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields/{field_id} secmaster:dataclass:updateField - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:deleteField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields/{field_id} secmaster:dataclass:getField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:listFields - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/types/{dataclass_type_id} secmaster:dataclass:getType - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/types secmaster:dataclass:listTypes - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id}/status secmaster:mapping:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/search secmaster:mapping:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/data-source secmaster:mapping:getDatasource - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/functions secmaster:mapping:listFunctions - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id} secmaster:mapping:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id}/clone secmaster:mapping:copy - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers secmaster:mapping:createClassifier - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:updateClassifier - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:getClassifier - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:deleteClassifier - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers secmaster:mapping:createMapper - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:updateMapper - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/search secmaster:mapping:listMappers - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:getMapper - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:deleteMapper - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/business-type secmaster:layout:listBusinessTypes - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/search secmaster:layout:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts secmaster:layout:create - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts secmaster:layout:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id} secmaster:layout:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id} secmaster:layout:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/template secmaster:layout:createTemplate - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:createField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:listFields - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields/{field_id} secmaster:layout:getField - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields/{field_id} secmaster:layout:updateFiled - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:deleteField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/wizards secmaster:layout:listWizards - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/wizards secmaster:layout:createWizard - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards/{wizard_id};/v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards secmaster:layout:getWizard - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards/{wizard_id} secmaster:layout:deleteWizard - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards secmaster:layout:updateWizard - POST /v1/{project_id}/workspaces/{workspace_id}/soc/catalogues/search;/v1/{project_id}/workspaces/{workspace_id}/soc/catalogues secmaster:catalogue:list - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/catalogues/{catalogue_id} secmaster:catalogue:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/export secmaster:playbook:export - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/import secmaster:playbook:import - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/template/download secmaster:indicator:downloadTemplate - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/export secmaster:indicator:export - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/import secmaster:indicator:import - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables secmaster:table:list - -POST /v2/{project_id}/workspaces/{workspace_id}/siem/tables secmaster:table:create - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:get - PUT /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:update - DELETE /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:delete - POST /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/lock secmaster:table:createLock - DELETE /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/lock secmaster:table:deleteLock - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables/metrics secmaster:table:listMetrics - PUT /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/schema secmaster:table:updateSchema -