支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 数据加密 服务（DEW）支持的自定义策略授权项如下所示： 加密密钥管理，包含密钥管理对应的授权项，如创建密钥、查询密钥、创建授权等接口。 密钥对管理，包含密钥对管理对应的授权项，如创建密钥对、查询密钥对、删除密钥对等接口。

密码管理 权限 对应的API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 一键重置弹性云服务器密码（企业项目） PUT /v1/{project_id}/cloudservers/{server_id}/os-reset-password ecs:cloudServers:resetServerPwd - √ √ √ √ 查询云服务器是否支持重置密码 GET /v1/{project_id}/cloudservers/{server_id}/os-resetpwd-flag ecs:cloudServers:showResetPasswordFlag - √ √ √ √ 获取Windows云服务器密码 GET /v1/{project_id}/cloudservers/{server_id}/os-server-password ecs:cloudServers:showServerPassword - √ √ √ √ 清除Windows云服务器密码 DELETE /v1/{project_id}/cloudservers/{server_id}/os-server-password ecs:cloudServers:deletePassword - √ √ √ √ 获取云服务器密码（OpenStack原生）（废弃） GET /v2.1/{project_id}/servers/{server_id}/os-server-password ecs:serverPasswords:manage - √ × × × 清除云服务器密码（OpenStack原生）（废弃） DELETE /v2.1/{project_id}/servers/{server_id}/os-server-password ecs:serverPasswords:manage - √ × × × 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 高性能弹性文件服务支持的自定义策略授权项如下所示： 【示例】文件系统，包含SFS Turbo所有文件系统接口对应的授权项，如创建文件系统、查询文件系统列表、查询单个文件系统详情、修改文件系统、删除文件系统等接口。 【示例】扩容文件系统，包括SFS Turbo文件系统扩容缩容接口对应的授权项，如扩容共享和缩容共享等接口。 【示例】授权项分类，包含SFS Turbo所有文件系统接口对应的授权项，如创建文件系统、查询文件系统列表、查询单个文件系统详情、删除文件系统等接口。

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - -

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 云容器实例（CCI）支持的自定义策略授权项如下所示： Namespace，Namespace对象管理接口，包括Namespace对象的创建、查询、修改、删除等接口。 Pod，Pod对象管理接口，包括Pod对象的查询接口。 Deployment，Deployment对象管理接口，包括Deployment对象的创建、查询、修改、删除等接口。 StatefulSet，Statefulset对象管理接口，包括Statefulset对象的创建、查询、修改、删除等接口。 Job，Job对象管理接口，包括Job对象的创建、查询、修改、删除等接口。 Service，Service对象管理接口，包括Service对象的创建、查询、修改、删除等接口。 Ingress，Ingress对象管理接口，包括Ingress对象的创建、查询、修改、删除等接口。 Network，Network对象管理接口，包括Network对象的创建、查询、删除等接口。 PersistentVolumeClaim，PersistentVolumeClaim对象管理接口，包括PersistentVolumeClaim对象的创建、查询、修改、删除等接口。 ConfigMap，Configmap对象管理接口，包括Configmap对象的创建、查询、修改、删除等接口。 Secret，Secret对象管理接口，包括Secret对象的创建、查询、修改、删除等接口。 ClusterRole，ClusterRole对象管理接口，包括ClusterRole的查询等接口。 RoleBinding，RoleBinding对象管理接口，包括RoleBinding对象的创建、查询、修改、删除等接口。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 弹性文件服务支持的自定义策略授权项如下所示： 【示例】文件共享，包含SFS所有文件系统接口对应的授权项，如创建文件系统、查询文件系统列表、查询单个文件系统详情、修改文件系统、删除文件系统等接口。 【示例】扩容缩容，包括SFS文件系统扩容缩容接口对应的授权项，如扩容共享和缩容共享等接口。 【示例】SFS Turbo授权项分类，包含SFS Turbo所有文件系统接口对应的授权项，如创建文件系统、查询文件系统列表、查询单个文件系统详情、删除文件系统等接口。

VPC 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建VPC POST /v1/{project_id}/vpcs vpc:vpcs:create √ √ 查询VPC GET /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:get √ √ 查询VPC列表 GET /v1/{project_id}/vpcs vpc:vpcs:list √ √ 更新VPC PUT /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:update √ √ 删除VPC DELETE /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:delete √ √ 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 云证书管理服务 （CCM）支持的自定义策略授权项如下所示： SSL证书管理 私有证书管理

LakeFormation LakeCat API 您可以在自定义策略语句的Action元素中指定LakeFormation LakeCat API相关操作。详细操作如表3所示。 表3 LakeFormation支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 lakeformation:function:describe 查询LakeFormation元数据的函数的权限。 read - - lakeformation:function:drop 删除LakeFormation元数据的函数的权限。 write - - lakeformation:function:alter 修改LakeFormation元数据的函数的权限。 write - - lakeformation:function:create 创建LakeFormation元数据的函数的权限。 write - - lakeformation:catalog:describe 查询LakeFormation元数据的数据目录的权限。 read - - lakeformation:catalog:create 创建LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:alter 修改LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:drop 删除LakeFormation元数据的数据目录的权限。 write - - lakeformation:database:describe 查询LakeFormation元数据的数据库的权限。 read - - lakeformation:database:create 创建LakeFormation元数据的数据库的权限。 write - - lakeformation:database:alter 修改LakeFormation元数据的数据库的权限。 write - - lakeformation:database:drop 删除LakeFormation元数据的数据库的权限。 write - - lakeformation:table:describe 查询LakeFormation元数据的数据表的权限。 read - - lakeformation:table:alter 修改LakeFormation元数据的数据表的权限。 write - - lakeformation:table:create 创建LakeFormation元数据的数据表的权限。 write - - lakeformation:table:drop 删除LakeFormation元数据的数据表的权限。 write - - lakeformation:transaction:operate 操作LakeFormation事务的权限。 write - - lakeformation:user:describe 查询LakeFormation用户以及关联角色关系的权限。 read - - lakeformation:policy:create 创建LakeFormation权限策略的权限。 write - - lakeformation:policy:export 批量查询LakeFormation权限策略的权限。 read - - lakeformation:policy:drop 删除LakeFormation权限策略的权限。 write - - lakeformation:policy:describe 查询LakeFormation权限策略的权限。 read - - lakeformation:group:describe 查询LakeFormation用户组以及关联角色关系的权限。 read - - lakeformation:group:alter 修改LakeFormation用户组以及关联角色关系的权限。 write - - lakeformation:instance:describe 查询LakeFormation实例的权限。 read - - lakeformation:role:create 创建LakeFormation角色的权限。 write - - lakeformation:role:describe 查询LakeFormation角色的权限。 read - - lakeformation:role:drop 删除LakeFormation角色的权限。 write - - lakeformation:role:alter 修改LakeFormation角色以及关联用户组关系的权限。 write - - lakeformation:credential:describe 获取访问LakeFormation认证信息的权限。 read - - lakeformation:configuration:describe 查询用户配置的权限。 read - - lakeformation:user:alter 修改LakeFormation用户以及关联角色关系的权限。 write - - lakeformation:tableFile:alter 修改文件的权限。 write - - lakeformation:tableFile:describe 查询文件的权限。 read - - lakeformation:tableFile:drop 删除文件的权限。 write - - lakeformation:tableFile:create 创建文件的权限。 write - - lakeformation:tableFileGroup:create 创建文件组的权限。 write - - lakeformation:tableFileGroup:describe 查询文件组的权限。 read - - lakeformation:tableFileGroup:alter 修改文件组的权限。 write - - lakeformation:tableFileGroup:drop 删除文件组的权限。 write - - lakeformation:metadata:restore 恢复元数据的权限。 write - - lakeformation:metadataEvent:describe 查询元数据事件的权限。 read - - LakeFormation LakeCat API通常对应着一个或多个操作项。表4展示了API与操作项的关系，以及该API需要依赖的操作项。 表4 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/names lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:describe - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:drop - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:create - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/names lakeformation:database:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/list-by-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-alter lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-create lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-drop lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-get lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/partition-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/users lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/grant lakeformation:policy:create - GET /v1/{project_id}/instances/{instance_id}/policies/policy lakeformation:policy:export - POST /v1/{project_id}/instances/{instance_id}/policies/revoke lakeformation:policy:drop - GET /v1/{project_id}/instances/{instance_id}/policies/show lakeformation:policy:describe - GET /v1/{project_id}/instances/{instance_id}/policies lakeformation:policy:export - GET /v1/{project_id}/instances/{instance_id}/groups lakeformation:group:describe - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:describe - POST /v1/{project_id}/instances/{instance_id}/metaobj/count lakeformation:instance:describe - POST /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:create - GET /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:describe - DELETE /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:drop - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:describe - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:alter - GET /v1/{project_id}/instances/{instance_id}/roles/names lakeformation:role:describe - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name}/principals lakeformation:role:describe - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/grant-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/revoke-principals lakeformation:role:alter - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name}/update-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/credential lakeformation:credential:describe - GET /v1/{project_id}/instances/{instance_id}/configurations lakeformation:configuration:describe - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/grant-roles lakeformation:user:alter - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/revoke-roles lakeformation:user:alter - PUT /v1/{project_id}/instances/{instance_id}/users/{user_name}/update-roles lakeformation:user:alter - GET /v1/{project_id}/instances/{instance_id}/users/{user_name}/roles lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/check-permission lakeformation:policy:describe - - lakeformation:metadata:restore - GET /v1/{project_id}/instances/{instance_id}/metadata-event lakeformation:metadataEvent:describe -

LakeFormation Console API 您可以在自定义策略语句的Action元素中指定LakeFormation Console API相关操作。详细操作如表1所示。 表1 LakeFormation支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 lakeformation:job:create 创建LakeFormation任务的权限。 write - - lakeformation:job:describe 查询LakeFormation任务的权限。 read - - lakeformation:job:drop 删除LakeFormation任务的权限。 write - - lakeformation:job:alter 修改LakeFormation任务的权限。 write - - lakeformation:job:exec 执行LakeFormation任务的权限。 write - - lakeformation:instanceJob:create 创建LakeFormation任务的权限。 write - - lakeformation:instanceJob:describe 查询LakeFormation任务的权限。 read - - lakeformation:instanceJob:drop 删除LakeFormation任务的权限。 write - - lakeformation:instanceJob:alter 修改LakeFormation任务的权限。 write - - lakeformation:instanceJob:exec 执行LakeFormation任务的权限。 write - - lakeformation:instance:create 创建LakeFormation实例的权限。 write - - lakeformation:instance:describe 查询LakeFormation实例的权限。 read - - lakeformation:instance:drop 删除LakeFormation实例的权限。 write - - lakeformation:instance:alter 修改LakeFormation实例的权限。 write - - lakeformation:access:describe 查询LakeFormation接入客户端的权限。 read - - lakeformation:instance:access 查询或申请接入LakeFormation实例的权限。 write - - lakeformation:access:create 创建LakeFormation接入客户端的权限。 write - - lakeformation:access:delete 删除LakeFormation接入客户端的权限。 write - - lakeformation:agency:create 创建LakeFormation委托的权限。 write - - lakeformation:agency:drop 删除LakeFormation委托的权限。 write - - lakeformation:agency:describe 查询LakeFormation委托的权限。 read - - lakeformation:accessService:describe 查看LakeFormation接入服务的权限。 permission_management - - lakeformation:accessService:grant 授权LakeFormation接入服务的权限。 permission_management - - lakeformation:accessTenant:grant 授权LakeFormation接入租户的权限。 permission_management - - lakeformation:accessAgency:describe 查询LakeFormation接入委托信息的权限。 permission_management - - lakeformation:agreement:describe 查看LakeFormation服务协议的权限。 permission_management - - lakeformation:agreement:cancel 取消LakeFormation服务协议授权的权限。 permission_management - - lakeformation:agreement:grant 授权LakeFormation服务协议的权限。 permission_management - - lakeformation:obs:describe 查询OBS桶列表 read - - lakeformation:tag:describe 查询LakeFormation预定义资源标签的权限。 read - - LakeFormation Console API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v1/{project_id}/instances lakeformation:instance:create - GET /v1/{project_id}/instances lakeformation:instance:describe - DELETE /v1/{project_id}/instances/{instance_id} lakeformation:instance:drop - GET /v1/{project_id}/instances/{instance_id} lakeformation:instance:describe - PUT /v1/{project_id}/instances/{instance_id} lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/default lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/scale lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/recover lakeformation:instance:create - POST /v1/{project_id}/access-service lakeformation:accessService:grant - GET /v1/{project_id}/access-service lakeformation:accessService:describe - POST /v1/{project_id}/agreement lakeformation:agreement:grant - GET /v1/{project_id}/agreement lakeformation:agreement:describe - DELETE /v1/{project_id}/agreement lakeformation:agreement:cancel - GET /v1/{project_id}/obs/buckets lakeformation:obs:describe obs:bucket:ListAllMyBuckets GET /v1/{project_id}/obs/buckets/{bucket_name} lakeformation:obs:describe obs:bucket:ListBucket obs:bucket:HeadBucket GET /v1/{project_id}/instances/{instance_id}/access lakeformation:instance:access - POST /v1/{project_id}/instances/{instance_id}/access lakeformation:instance:access - GET /v1/{project_id}/instances/{instance_id}/access-clients lakeformation:access:describe - POST /v1/{project_id}/instances/{instance_id}/access-clients lakeformation:access:create - GET /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:access:describe - DELETE /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:access:delete - PUT /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:instance:alter - PUT /v1/{project_id}/instances/{instance_id}/tags lakeformation:instance:alter - POST /v1/{project_id}/agency lakeformation:agency:create - DELETE /v1/{project_id}/agency lakeformation:agency:drop - GET /v1/{project_id}/agency lakeformation:agency:describe - GET /v1/{project_id}/lakeformation-instance/tags lakeformation:tag:describe tms:predefineTags:list - lakeformation:instance:describe - - lakeformation:instance:alter -

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LakeFormation定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于LakeFormation定义的条件键的详细信息请参见条件（Condition）。 LakeFormation支持的操作项、API与操作项的关系请参见以下详细介绍： LakeFormation Console API LakeFormation LakeCat API LakeFormation支持企业项目授权的API： GET /v1/{project_id}/instances API请求中包含“instance_id”的API，例如：GET /v1/{project_id}/instances/{instance_id}

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 OBS支持的自定义策略授权项如下所示： 桶相关授权项：包括OBS所有面向桶的接口所对应的授权项，如列举全部桶、创建桶、删除桶、设置桶策略、设置桶的日志记录、设置桶的事件通知、设置桶的跨区域复制配置等接口。 对象相关授权项：包括上传对象、下载对象、删除对象等接口。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，请参考IAM与企业管理的区别。 ServiceStage的支持自定义策略授权项，请参考表1。 表1 ServiceStage授权项明细 权限 对应API接口 授权项 IAM项目 企业项目 创建应用 POST /v3/{project_id}/cas/applications servicestage:app:create √ √ 删除应用 DELETE /v3/{project_id}/cas/applications/{application_id} servicestage:app:delete √ √ 更新应用 PUT /v3/{project_id}/cas/applications/{application_id} servicestage:app:modify √ √ 查看应用列表 GET /v3/{project_id}/cas/applications servicestage:app:list √ √ 查询应用信息 GET /v3/{project_id}/cas/applications/{application_id} servicestage:app:get √ √ 修改工程 - servicestage:project:modify √ √ 创建工程 - servicestage:project:create √ √ 审批应用 - servicestage:app:approve √ √ 查看流水线列表 - servicestage:pipeline:list √ √ 修改构建 - servicestage:assembling:modify √ √ 审批流水线 - servicestage:pipeline:review √ √ 执行流水线 - servicestage:pipeline:execute √ √ 查看构建信息 - servicestage:project:get √ √ 删除构建 - servicestage:assembling:delete √ √ 删除流水线 - servicestage:pipeline:delete √ √ 删除工程 - servicestage:project:delete √ √ 修改流水线 - servicestage:pipeline:modify √ √ 创建构建 - servicestage:assembling:create √ √ 查看构建列表 - servicestage:assembling:list √ √ 查看构建信息 - servicestage:assembling:get √ √ 查看工程列表 - servicestage:project:list √ √ 查看流水线信息 - servicestage:pipeline:get √ √ 创建流水线 - servicestage:pipeline:create √ √