支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，请参考IAM与企业管理的区别。 ServiceStage的支持自定义策略授权项，请参考表1。 表1 ServiceStage授权项明细 权限 对应API接口 授权项 IAM项目 企业项目 创建应用 POST /v3/{project_id}/cas/applications servicestage:app:create √ √ 删除应用 DELETE /v3/{project_id}/cas/applications/{application_id} servicestage:app:delete √ √ 更新应用 PUT /v3/{project_id}/cas/applications/{application_id} servicestage:app:modify √ √ 查看应用列表 GET /v3/{project_id}/cas/applications servicestage:app:list √ √ 查询应用信息 GET /v3/{project_id}/cas/applications/{application_id} servicestage:app:get √ √ 修改工程 - servicestage:project:modify √ √ 创建工程 - servicestage:project:create √ √ 审批应用 - servicestage:app:approve √ √ 查看流水线列表 - servicestage:pipeline:list √ √ 修改构建 - servicestage:assembling:modify √ √ 审批流水线 - servicestage:pipeline:review √ √ 执行流水线 - servicestage:pipeline:execute √ √ 查看构建信息 - servicestage:project:get √ √ 删除构建 - servicestage:assembling:delete √ √ 删除流水线 - servicestage:pipeline:delete √ √ 删除工程 - servicestage:project:delete √ √ 修改流水线 - servicestage:pipeline:modify √ √ 创建构建 - servicestage:assembling:create √ √ 查看构建列表 - servicestage:assembling:list √ √ 查看构建信息 - servicestage:assembling:get √ √ 查看工程列表 - servicestage:project:list √ √ 查看流水线信息 - servicestage:pipeline:get √ √ 创建流水线 - servicestage:pipeline:create √ √

端口 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询端口 GET /v1/{project_id}/ports vpc:ports:get √ √ 查询端口详情 GET /v1/{project_id}/ports/{port_id} vpc:ports:get √ √ 更新端口 PUT /v1/{project_id}/ports/{port_id} vpc:ports:update √ √ 删除端口 DELETE /v1/{project_id}/ports/{port_id} vpc:ports:delete √ √ 创建端口 POST / v1/{project_id}/ports vpc:ports:create √ √ 父主题： 权限和授权项

标签管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 列出绑定到指定资源的标签 GET /v1/organizations/resources/{resource_id}/tags organizations:tags:list × × 为指定的资源添加标签 POST /v1/organizations/resources/{resource_id}/tag organizations:resources:tag × × 从指定资源中删除指定主键标签 POST /v1/organizations/resources/{resource_id}/untag organizations:resources:untag × × 列出绑定到指定资源的标签 GET /v1/organizations/{resource_type}/{resource_id}/tags organizations:tags:list × × 为指定资源添加标签 POST /v1/organizations/{resource_type}/{resource_id}/tags/create organizations:resources:tag × × 从指定资源中删除指定主键标签 POST /v1/organizations/{resource_type}/{resource_id}/tags/delete organizations:resources:untag × × 根据资源类型及标签信息查询实例列表 POST /v1/organizations/{resource_type}/resource-instances/filter organizations:resources:listByTag × × 根据资源类型及标签信息查询实例数量 POST /v1/organizations/{resource_type}/resource-instances/count organizations:resources:countByTag × × 查询资源标签 GET /v1/organizations/{resource_type}/tags organizations:resources:list × ×

其他 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 查询有效的策略 GET /v1/organizations/entities/effective-policies organizations:effectivePolicies:get × × 列出组织中的根、组织单元和账号 GET /v1/organizations/entities organizations:entities:list × × 列出所有可以与组织服务集成的云服务 GET /v1/organizations/services organizations:services:list × × 列出被添加到标签策略强制执行的资源类型 GET /v1/organizations/tag-policy-services organizations:tagPolicyServices:list × × 列出租户的组织配额 GET /v1/organizations/quotas organizations:quotas:list × ×

可信服务管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 启用可信服务 POST /v1/organizations/enable-trusted-service organizations:trustedServices:enable × × 禁用受信任服务 POST /v1/organizations/disable-trusted-service organizations:trustedServices:disable × × 列出组织的可信服务列表 GET /v1/organizations/trusted-services organizations:trustedServices:list × ×

策略管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 创建策略 POST /v1/organizations/policies organizations:policies:create organizations:resources:tag（如果请求带标签） × × 列出策略 GET /v1/organizations/policies organizations:policies:list × × 查询策略相关信息 GET /v1/organizations/policies/{policy_id} organizations:policies:get × × 更新策略 PATCH /v1/organizations/policies/{policy_id} organizations:policies:update × × 删除策略 DELETE /v1/organizations/policies/{policy_id} organizations:policies:delete × × 在根中启用策略类型 POST /v1/organizations/policies/enable organizations:policies:enable × × 禁用根中的策略类型 POST /v1/organizations/policies/disable organizations:policies:disable × × 将策略跟实体绑定 POST /v1/organizations/policies/{policy_id}/attach organizations:policies:attach × × 将策略跟实体解绑 POST /v1/organizations/policies/{policy_id}/detach organizations:policies:detach × × 列出跟指定策略绑定的所有实体 GET /v1/organizations/policies/{policy_id}/attached-entities organizations:attachedEntities:list × ×

委托管理员管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 注册作为服务委托管理员 POST /v1/organizations/delegated-administrators/register organizations:delegatedAdministrators:register × × 注销服务的委托管理员 POST /v1/organizations/delegated-administrators/deregister organizations:delegatedAdministrators:deregister × × 列出指定账号是其委托管理员的服务 GET /v1/organizations/accounts/{account_id}/delegated-services organizations:delegatedServices:list × × 列出此组织中指定为委托管理员的账号 GET /v1/organizations/delegated-administrators organizations:delegatedAdministrators:list × ×

邀请管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 查询邀请相关信息 GET /v1/organizations/handshakes/{handshake_id} organizations:handshakes:get × × 接受邀请 POST/v1/received-handshakes/{handshake_id}/accept organizations:handshakes:accept iam:agencies:createServiceLinkedAgency × × 拒绝邀请 POST /v1/received-handshakes/{handshake_id}/decline organizations:handshakes:decline × × 取消邀请 POST /v1/organizations/handshakes/{handshake_id}/cancel organizations:handshakes:cancel × × 列出收到的邀请 GET /v1/received-handshakes organizations:receivedHandshakes:list × × 列出发送的邀请 GET /v1/organizations/handshakes organizations:handshakes:list × ×

账号管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 创建账号 POST /v1/organizations/accounts organizations:accounts:create organizations:resources:tag（如果请求带标签） × × 列出组织中的账号 GET /v1/organizations/accounts organizations:accounts:list × × 查询账号信息 GET /v1/organizations/accounts/{account_id} organizations:accounts:get × × 移除指定的账号 POST /v1/organizations/accounts/{account_id}/remove organizations:accounts:remove × × 移动账号 POST /v1/organizations/accounts/{account_id}/move organizations:accounts:move × × 邀请账号加入组织 POST /v1/organizations/invite-account organizations:accounts:invite organizations:resources:tag（如果请求带标签） × × 列出创建账号的状态 GET /v1/organizations/create-account-statuses organizations:createAccountStatuses:list × × 查询有关创建账号状态的信息 GET /v1/organizations/create-account-statuses/{create_account_status_id} organizations:createAccountStatuses:get × ×

组织单元管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 创建组织单元 POST /v1/organizations/organizational-units organizations:ous:create organizations:resources:tag（如果请求带标签） × × 列出组织单元 GET /v1/organizations/organizational-units organizations:ous:list × × 查询有关组织单元的信息 GET /v1/organizations/organizational-units/{organizational_unit_id} organizations:ous:get × × 更改组织单元名称 PATCH /v1/organizations/organizational-units/{organizational_unit_id} organizations:ous:update × × 删除组织单元 DELETE /v1/organizations/organizational-units/{organizational_unit_id} organizations:ous:delete × ×

组织管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 创建组织 POST /v1/organizations organizations:organizations:create iam:agencies:createServiceLinkedAgency × × 查询所属组织信息 GET /v1/organizations organizations:organizations:get × × 删除组织 DELETE /v1/organizations organizations:organizations:delete × × 离开当前组织 POST /v1/organizations/leave organizations:organizations:leave × × 列出组织的根 GET /v1/organizations/roots organizations:roots:list × ×

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。

RDS授权分类 表1 公共查询 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 实例授权 查询数据库引擎版本 GET /v3/{projectId}/datastores/{database_name} 无需授权 √ √ × 查询数据库规格 GET /v3/{project_id}/flavors/{database_name}?version_name={version_name} 无需授权 √ √ × 查询数据库存储规格 GET /v3/{project_id}/storage-type/{database_name}?version_name={version_name} 无需授权 √ √ × 表2 实例管理 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 实例授权 创建数据库实例 POST /v3/{project_id}/instances rds:instance:create （创建加密实例需要在项目上配置KMS Administrator权限。） √ √ × 修改实例名称 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/name rds:instance:modify √ √ √ 修改实例备注 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/alias rds:instance:modify √ √ √ 申请内网 域名 POST https://{Endpoint}/v3/{project_id}/instances/{instance_id}/create-dns rds:instance:createDns √ √ × 修改内网域名 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/modify-dns rds:instance:modifyDns √ √ √ 变更数据库实例的规格 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:modifySpec √ √ × 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:extendSpace √ √ √ 单机转主备实例 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:singleToHa （加密实例需要在项目上配置KMS Administrator权限。） √ √ √ 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:restart √ √ √ 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} rds:instance:delete √ √ √ 查询数据库实例列表 GET /v3/{project_id}/instances rds:instance:list √ √ √ 查询跨区域备份实例列表 GET /v3/{project_id}/backups/offsite-backup-instance rds:instance:list √ √ √ 绑定和解绑弹性公网IP PUT /v3/{project_id}/instances/{instance_id}/public-ip rds:instance:modifyPublicAccess √ √ × 修改数据库实例密码 PUT /v3/{project_id}/instances/{instance_id}/password rds:password:update √ √ √ 手动主备倒换 PUT /v3/{project_id}/instances/{instance_id}/failover rds:instance:switchover √ √ √ 修改主备切换策略 PUT /v3/{project_id}/instances/{instance_id}/failover/strategy rds:instance:modifyStrategy √ √ √ 修改主备同步模式 PUT /v3/{project_id}/instances/{instance_id}/failover/mode rds:instance:modifySynchronizeModel √ √ √ 修改运维时间窗 PUT /v3/{project_id}/instances/{instance_id}/ops-window rds:instance:modify √ √ √ 备机可用区迁移 POST /v3/{project_id}/instances/{instance_id}/migrateslave rds:instance:create √ √ × 表3 灾备实例 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 配置主实例容灾能力 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:buildDrRelation √ √ × 配置灾备实例容灾能力 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:buildDrRelation √ √ √ 灾备升主 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:modifyDRRole √ √ √ 查询跨云容灾复制状态 GET /v3/{project_id}/instances/{instance_id}/disaster-recovery rds:instance:list √ √ × 表4 数据库安全性 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 实例授权 设置SSL 数据加密 PUT /v3/{project_id}/instances/{instance_id}/ssl rds:instance:modifySSL √ √ √ 修改数据库端口 PUT /v3/{project_id}/instances/{instance_id}/port rds:instance:modifyPort √ √ √ 修改内网地址 PUT /v3/{project_id}/instances/{instance_id}/ip rds:instance:modifyIp √ √ √ 修改安全组 PUT /v3/{project_id}/instances/{instance_id}/security-group rds:instance:modifySecurityGroup √ √ √ 表5 参数配置 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 实例授权 获取参数模板列表 GET /v3/{project_id}/configurations rds:param:list √ √ √ 创建参数模板 POST /v3/{project_id}/configurations rds:param:create √ √ × 修改参数模板参数 PUT /v3/{project_id}/configurations/{config_id} rds:param:modify √ √ √ 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply rds:param:apply √ √ × 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations rds:param:modify √ √ √ 获取指定实例的参数模板 GET /v3/{project_id}/instances/{instance_id}/configurations rds:param:list √ √ √ 获取指定参数模板的参数 GET /v3/{project_id}/configurations/{config_id} rds:param:list √ √ √ 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} rds:param:delete √ √ × 表6 备份与恢复 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy rds:instance:modifyBackupPolicy √ √ √ 设置跨区域备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/offsite-policy rds:instance:modifyBackupPolicy √ √ √ 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy rds:instance:list √ √ √ 查询跨区域备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/offsite-policy rds:instance:list √ √ √ 创建手动备份 POST /v3/{project_id}/backups rds:backup:create √ √ × 获取备份列表 GET /v3/{project_id}/backups?instance_id={instance_id} rds:backup:list √ √ × 获取跨区域备份列表 GET /v3/{project_id}/offsite-backups?instance_id={instance_id} rds:backup:list √ √ × 获取备份下载链接 GET /v3/{project_id}/backup-files?backup_id={backup_id} rds:backup:download √ √ × 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} rds:backup:delete √ √ × 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time rds:instance:list √ √ × 查询跨区域备份可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/offsite-restore-time rds:instance:list √ √ × 恢复到新实例 POST /v3/{project_id}/instances rds:instance:create （加密实例需要在项目上配置KMS Administrator权限。） √ √ × 恢复到已有或当前实例 POST /v3/{project_id}/instances/recovery rds:instance:restoreInPlace √ √ × 表7 获取日志信息 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 查询数据库错误日志 GET /v3/{project_id}/instances/{instance_id}/errorlog?start_date={start_date}&end_date={end_date} rds:log:list √ √ √ 查询数据库慢日志 GET /v3/{project_id}/instances/{instance_id}/slowlog?start_date={start_date}&end_date={end_date} rds:log:list √ √ √ 设置审计日志策略 PUT /v3/{project_id}/instances/{instance_id}/auditlog-policy rds:auditlog:operate √ √ √ 查询审计日志策略 GET /v3/{project_id}/instances/{instance_id}/auditlog-policy rds:auditlog:list √ √ √ 获取审计日志列表 GET /v3/{project_id}/instances/{instance_id}/auditlog?start_time={start_time}&end_time={end_time}&offset={offset}&limit={limit} rds:auditlog:list √ √ √ 生成审计日志下载链接 POST /v3/{project_id}/instances/{instance_id}/auditlog-links rds:auditlog:download √ √ √ 获取慢日志下载链接 POST /v3/{project_id}/instances/{instance_id}/slowlog-download rds:log:download √ √ √ 获取binlog本地保留时长 GET /v3/{project_id}/instances/{instance_id}/binlog/clear-policy rds:binlog:get √ √ √ 设置binlog本地保留时长 PUT /v3/{project_id}/instances/{instance_id}/binlog/clear-policy rds:binlog:setPolicy √ √ √ 表8 管理数据库和用户（MySQL） API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database rds:database:create √ √ √ 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/database/detail?page={page}&limit={limit} rds:database:list √ √ √ 查询指定用户的已授权数据库 GET /v3/{project_id}/instances/{instance_id}/db_user/database?user-name={user-name}&page={page}&limit={limit} rds:database:list √ √ √ 删除数据库 DELETE /v3/{project_id}/instances/{instance_id}/database/{db_name} rds:database:drop √ √ √ 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db_user rds:databaseUser:create √ √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db_user/detail?page={page}&limit={limit} rds:databaseUser:list √ √ √ 查询指定数据库的已授权用户 GET /v3/{project_id}/instances/{instance_id}/database/db_user?db-name={db-name}&page={page}&limit={limit} rds:databaseUser:list √ √ √ 修改数据库用户的备注 PUT /v3/{project_id}/instances/{instance_id}/db-users/{user_name}/comment rds:databaseUser:update √ √ √ 删除数据库用户 DELETE /v3/{project_id}/instances/{instance_id}/db_user/{user_name} rds:databaseUser:drop √ √ √ 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:grant √ √ √ 修改数据库账号密码 POST /v3/{project_id}/instances/{instance_id}/db_user/resetpwd rds:password:update √ √ √ 解除数据库账号权限 DELETE /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:revoke √ √ √ 表9 管理数据库和用户（PostgreSQL） API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database rds:database:create √ √ √ 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db_user rds:databaseUser:create √ √ √ 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:grant √ √ √ 创建数据库 schema POST /v3/{project_id}/instances/{instance_id}/schema rds:database:create √ √ √ 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/database/detail?page={page}&limit={limit} rds:database:list √ √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db_user/detail?page={page}&limit={limit} rds:databaseUser:list √ √ √ 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schema/detail?db_name={name}page={page}&limit={limit} rds:database:list √ √ √ 修改数据库用户的备注 PUT /v3/{project_id}/instances/{instance_id}/db-users/{user_name}/comment rds:databaseUser:update √ √ √ 表10 回收站 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 设置回收站策略 PUT https://{Endpoint}/v3/{project_id}/instances/recycle-policy rds:instance:setRecycleBin √ × × 表11 标签管理 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 批量添加删除标签 POST /v3/{project_id}/instances/{instance_id}/tags/action rds:instance:dealTag √ √ √ 查询项目标签 GET /v3/{project_id}/tags rds:tag:list √ √ × 表12 配额管理 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 查询配额 GET https://{Endpoint}/v3/{project_id}/quotas rds:instance:list √ √ √ 表13 任务功能 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 实例授权 获取任务信息 GET /v3/{project_id}/jobs?id={id} rds:task:list √ √ × 父主题： 权限和授权项

云服务器组管理 权限 对应的API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 删除云服务器组 DELETE /v1/{project_id}/cloudservers/os-server-groups/{server_group_id} ecs:cloudServers:deleteServerGroup - √ √ × × 创建云服务器组 POST /v1{project_id}/cloudservers/os-server-groups ecs:cloudServers:createServerGroup - √ √ × × 添加云服务器云主机组成员 POST /v1/{project_id}/cloudservers/os-server-groups/{server_group_id}/action ecs:cloudServers:addServerGroupMember - √ √ × × 删除云服务器云主机组成员 POST /v1/{project_id}/cloudservers/os-server-groups/{server_group_id}/action ecs:cloudServers:deleteServerGroupMember - √ √ × × 查询云服务器组列表 GET /v1/{project_id}/cloudservers/os-server-groups ecs:cloudServers:list - √ √ × × 查询云服务器组详情 GET /v1/{project_id}/cloudservers/os-server-groups/{server_group_id} ecs:cloudServers:get ecs:cloudServers:showServerGroup - √ √ × × 创建云服务器组（OpenStack原生） POST /v2.1/{project_id}/os-server-groups ecs:serverGroups:manage - √ × × × 查询云服务器组列表（OpenStack原生） GET /v2.1/{project_id}/os-server-groups ecs:serverGroups:manage - √ × × × 查询云服务器组详情（OpenStack原生） GET /v2.1/{project_id}/os-server-groups/{server_group_id} ecs:serverGroups:manage - √ × × × 删除云服务器组（OpenStack原生） DELETE /v2.1/{project_id}/os-server-groups/{server_group_id} ecs:serverGroups:manage - √ × × × 父主题： 权限和授权项

权限及授权项说明 如果您需要对您所拥有的VPN资源进行精细的权限管理，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM），如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用VPN服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分，授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 如果您要允许或是禁止某个接口的操作权限，请使用策略。 帐号具备所有接口的调用权限，如果使用帐号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。例如，用户要调用接口来查询VPN 网关列表，那么这个IAM用户被授予的策略中必须包含允许“vpn:vpnGateways:list”的授权项，该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：策略实际调用的API接口。 授权项：策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 VPN的支持自定义策略授权项如下所示： 【示例】VPN网关，包含VPN 网关接口对应的授权项，如创建VPN网关、查询VPN网关、查询VPN网关列表、更新VPN网关、删除VPN网关等接口。 “√”表示支持，“x”表示暂不支持。 父主题： 权限和授权项