支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。

VPC 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建VPC POST /v1/{project_id}/vpcs vpc:vpcs:create √ √ 查询VPC GET /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:get √ √ 查询VPC列表 GET /v1/{project_id}/vpcs vpc:vpcs:list √ √ 更新VPC PUT /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:update √ √ 删除VPC DELETE /v1/{project_id}/vpcs/{vpc_id} vpc:vpcs:delete √ √ 父主题： 权限和授权项

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - -

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 云证书管理服务 （CCM）支持的自定义策略授权项如下所示： SSL证书管理 私有证书管理

LakeFormation LakeCat API 您可以在自定义策略语句的Action元素中指定LakeFormation LakeCat API相关操作。详细操作如表3所示。 表3 LakeFormation支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 lakeformation:function:describe 查询LakeFormation元数据的函数的权限。 read - - lakeformation:function:drop 删除LakeFormation元数据的函数的权限。 write - - lakeformation:function:alter 修改LakeFormation元数据的函数的权限。 write - - lakeformation:function:create 创建LakeFormation元数据的函数的权限。 write - - lakeformation:catalog:describe 查询LakeFormation元数据的数据目录的权限。 read - - lakeformation:catalog:create 创建LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:alter 修改LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:drop 删除LakeFormation元数据的数据目录的权限。 write - - lakeformation:database:describe 查询LakeFormation元数据的数据库的权限。 read - - lakeformation:database:create 创建LakeFormation元数据的数据库的权限。 write - - lakeformation:database:alter 修改LakeFormation元数据的数据库的权限。 write - - lakeformation:database:drop 删除LakeFormation元数据的数据库的权限。 write - - lakeformation:table:describe 查询LakeFormation元数据的数据表的权限。 read - - lakeformation:table:alter 修改LakeFormation元数据的数据表的权限。 write - - lakeformation:table:create 创建LakeFormation元数据的数据表的权限。 write - - lakeformation:table:drop 删除LakeFormation元数据的数据表的权限。 write - - lakeformation:transaction:operate 操作LakeFormation事务的权限。 write - - lakeformation:user:describe 查询LakeFormation用户以及关联角色关系的权限。 read - - lakeformation:policy:create 创建LakeFormation权限策略的权限。 write - - lakeformation:policy:export 批量查询LakeFormation权限策略的权限。 read - - lakeformation:policy:drop 删除LakeFormation权限策略的权限。 write - - lakeformation:policy:describe 查询LakeFormation权限策略的权限。 read - - lakeformation:group:describe 查询LakeFormation用户组以及关联角色关系的权限。 read - - lakeformation:group:alter 修改LakeFormation用户组以及关联角色关系的权限。 write - - lakeformation:instance:describe 查询LakeFormation实例的权限。 read - - lakeformation:role:create 创建LakeFormation角色的权限。 write - - lakeformation:role:describe 查询LakeFormation角色的权限。 read - - lakeformation:role:drop 删除LakeFormation角色的权限。 write - - lakeformation:role:alter 修改LakeFormation角色以及关联用户组关系的权限。 write - - lakeformation:credential:describe 获取访问LakeFormation认证信息的权限。 read - - lakeformation:configuration:describe 查询用户配置的权限。 read - - lakeformation:user:alter 修改LakeFormation用户以及关联角色关系的权限。 write - - lakeformation:tableFile:alter 修改文件的权限。 write - - lakeformation:tableFile:describe 查询文件的权限。 read - - lakeformation:tableFile:drop 删除文件的权限。 write - - lakeformation:tableFile:create 创建文件的权限。 write - - lakeformation:tableFileGroup:create 创建文件组的权限。 write - - lakeformation:tableFileGroup:describe 查询文件组的权限。 read - - lakeformation:tableFileGroup:alter 修改文件组的权限。 write - - lakeformation:tableFileGroup:drop 删除文件组的权限。 write - - lakeformation:metadata:restore 恢复元数据的权限。 write - - lakeformation:metadataEvent:describe 查询元数据事件的权限。 read - - LakeFormation LakeCat API通常对应着一个或多个操作项。表4展示了API与操作项的关系，以及该API需要依赖的操作项。 表4 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/names lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:describe - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:drop - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:create - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/names lakeformation:database:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/list-by-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-alter lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-create lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-drop lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-get lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/partition-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/users lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/grant lakeformation:policy:create - GET /v1/{project_id}/instances/{instance_id}/policies/policy lakeformation:policy:export - POST /v1/{project_id}/instances/{instance_id}/policies/revoke lakeformation:policy:drop - GET /v1/{project_id}/instances/{instance_id}/policies/show lakeformation:policy:describe - GET /v1/{project_id}/instances/{instance_id}/policies lakeformation:policy:export - GET /v1/{project_id}/instances/{instance_id}/groups lakeformation:group:describe - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:describe - POST /v1/{project_id}/instances/{instance_id}/metaobj/count lakeformation:instance:describe - POST /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:create - GET /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:describe - DELETE /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:drop - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:describe - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:alter - GET /v1/{project_id}/instances/{instance_id}/roles/names lakeformation:role:describe - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name}/principals lakeformation:role:describe - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/grant-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/revoke-principals lakeformation:role:alter - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name}/update-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/credential lakeformation:credential:describe - GET /v1/{project_id}/instances/{instance_id}/configurations lakeformation:configuration:describe - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/grant-roles lakeformation:user:alter - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/revoke-roles lakeformation:user:alter - PUT /v1/{project_id}/instances/{instance_id}/users/{user_name}/update-roles lakeformation:user:alter - GET /v1/{project_id}/instances/{instance_id}/users/{user_name}/roles lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/check-permission lakeformation:policy:describe - - lakeformation:metadata:restore - GET /v1/{project_id}/instances/{instance_id}/metadata-event lakeformation:metadataEvent:describe -

LakeFormation Console API 您可以在自定义策略语句的Action元素中指定LakeFormation Console API相关操作。详细操作如表1所示。 表1 LakeFormation支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 lakeformation:job:create 创建LakeFormation任务的权限。 write - - lakeformation:job:describe 查询LakeFormation任务的权限。 read - - lakeformation:job:drop 删除LakeFormation任务的权限。 write - - lakeformation:job:alter 修改LakeFormation任务的权限。 write - - lakeformation:job:exec 执行LakeFormation任务的权限。 write - - lakeformation:instanceJob:create 创建LakeFormation任务的权限。 write - - lakeformation:instanceJob:describe 查询LakeFormation任务的权限。 read - - lakeformation:instanceJob:drop 删除LakeFormation任务的权限。 write - - lakeformation:instanceJob:alter 修改LakeFormation任务的权限。 write - - lakeformation:instanceJob:exec 执行LakeFormation任务的权限。 write - - lakeformation:instance:create 创建LakeFormation实例的权限。 write - - lakeformation:instance:describe 查询LakeFormation实例的权限。 read - - lakeformation:instance:drop 删除LakeFormation实例的权限。 write - - lakeformation:instance:alter 修改LakeFormation实例的权限。 write - - lakeformation:access:describe 查询LakeFormation接入客户端的权限。 read - - lakeformation:instance:access 查询或申请接入LakeFormation实例的权限。 write - - lakeformation:access:create 创建LakeFormation接入客户端的权限。 write - - lakeformation:access:delete 删除LakeFormation接入客户端的权限。 write - - lakeformation:agency:create 创建LakeFormation委托的权限。 write - - lakeformation:agency:drop 删除LakeFormation委托的权限。 write - - lakeformation:agency:describe 查询LakeFormation委托的权限。 read - - lakeformation:accessService:describe 查看LakeFormation接入服务的权限。 permission_management - - lakeformation:accessService:grant 授权LakeFormation接入服务的权限。 permission_management - - lakeformation:accessTenant:grant 授权LakeFormation接入租户的权限。 permission_management - - lakeformation:accessAgency:describe 查询LakeFormation接入委托信息的权限。 permission_management - - lakeformation:agreement:describe 查看LakeFormation服务协议的权限。 permission_management - - lakeformation:agreement:cancel 取消LakeFormation服务协议授权的权限。 permission_management - - lakeformation:agreement:grant 授权LakeFormation服务协议的权限。 permission_management - - lakeformation:obs:describe 查询OBS桶列表 read - - lakeformation:tag:describe 查询LakeFormation预定义资源标签的权限。 read - - LakeFormation Console API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v1/{project_id}/instances lakeformation:instance:create - GET /v1/{project_id}/instances lakeformation:instance:describe - DELETE /v1/{project_id}/instances/{instance_id} lakeformation:instance:drop - GET /v1/{project_id}/instances/{instance_id} lakeformation:instance:describe - PUT /v1/{project_id}/instances/{instance_id} lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/default lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/scale lakeformation:instance:alter - POST /v1/{project_id}/instances/{instance_id}/recover lakeformation:instance:create - POST /v1/{project_id}/access-service lakeformation:accessService:grant - GET /v1/{project_id}/access-service lakeformation:accessService:describe - POST /v1/{project_id}/agreement lakeformation:agreement:grant - GET /v1/{project_id}/agreement lakeformation:agreement:describe - DELETE /v1/{project_id}/agreement lakeformation:agreement:cancel - GET /v1/{project_id}/obs/buckets lakeformation:obs:describe obs:bucket:ListAllMyBuckets GET /v1/{project_id}/obs/buckets/{bucket_name} lakeformation:obs:describe obs:bucket:ListBucket obs:bucket:HeadBucket GET /v1/{project_id}/instances/{instance_id}/access lakeformation:instance:access - POST /v1/{project_id}/instances/{instance_id}/access lakeformation:instance:access - GET /v1/{project_id}/instances/{instance_id}/access-clients lakeformation:access:describe - POST /v1/{project_id}/instances/{instance_id}/access-clients lakeformation:access:create - GET /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:access:describe - DELETE /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:access:delete - PUT /v1/{project_id}/instances/{instance_id}/access-clients/{client_id} lakeformation:instance:alter - PUT /v1/{project_id}/instances/{instance_id}/tags lakeformation:instance:alter - POST /v1/{project_id}/agency lakeformation:agency:create - DELETE /v1/{project_id}/agency lakeformation:agency:drop - GET /v1/{project_id}/agency lakeformation:agency:describe - GET /v1/{project_id}/lakeformation-instance/tags lakeformation:tag:describe tms:predefineTags:list - lakeformation:instance:describe - - lakeformation:instance:alter -

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LakeFormation定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于LakeFormation定义的条件键的详细信息请参见条件（Condition）。 LakeFormation支持的操作项、API与操作项的关系请参见以下详细介绍： LakeFormation Console API LakeFormation LakeCat API LakeFormation支持企业项目授权的API： GET /v1/{project_id}/instances API请求中包含“instance_id”的API，例如：GET /v1/{project_id}/instances/{instance_id}

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 OBS支持的自定义策略授权项如下所示： 桶相关授权项：包括OBS所有面向桶的接口所对应的授权项，如列举全部桶、创建桶、删除桶、设置桶策略、设置桶的日志记录、设置桶的事件通知、设置桶的跨区域复制配置等接口。 对象相关授权项：包括上传对象、下载对象、删除对象等接口。

磁盘管理 权限 对应的API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 卸载指定弹性云服务器的磁盘 DELETE /v1/{project_id}/cloudservers/{server_id}/detachvolume/{volume_id} ecs:cloudServers:detachVolume - √ √ √ √ 弹性云服务器挂载磁盘 POST /v1/{project_id}/cloudservers/{server_id}/attachvolume ecs:cloudServers:attach evs:volumes:use √ √ √ √ 查询弹性云服务器挂载磁盘列表详情信息 GET /v1/{project_id}/cloudservers/{server_id}/block_device ecs:cloudServers:listServerBlockDevices - √ √ √ √ 查询弹性云服务器挂载磁盘列表信息 GET /v1/{project_id}/cloudservers/{server_id}/os-volume_attachments ecs:cloudServers:listServerVolumeAttachments - √ √ √ √ 查询弹性云服务器单个磁盘挂载信息 GET /v1/cloudservers/{server_id}/block_device/{volume_id} ecs:cloudServers:showServerBlockDevice - √ √ √ √ 挂载弹性云服务器磁盘(OpenStack原生) POST /v2.1/{project_id}/servers/{server_id}/os-volume_attachments ecs:serverVolumeAttachments:create ecs:servers:get ecs:flavors:get ecs:serverVolumes:use evs:volumes:list evs:volumes:get evs:volumes:update evs:volumes:attach evs:volumes:manage √ × × × 卸载云服务器磁盘（OpenStack原生） DELETE /v2.1/{project_id}/servers/{server_id}/os-volume_attachments/{volume_id} ecs:serverVolumeAttachments:delete ecs:serverVolumes:use evs:volumes:list evs:volumes:get evs:volumes:update evs:volumes:detach evs:volumes:manage √ × × × 查询弹性云服务器挂载磁盘信息列表（OpenStack原生） GET /v2.1/{project_id}/servers/{server_id}/os-volume_attachments ecs:serverVolumeAttachments:list ecs:serverVolumes:use ecs:servers:get √ × × × 查询弹性云服务器挂载的单个磁盘信息（OpenStack原生） GET /v2.1/{project_id}/servers/{server_id}/os-volume_attachments/{volume_id} ecs:serverVolumeAttachments:get ecs:serverVolumes:use √ × × × 创建磁盘（OpenStack原生） POST /v2.1/{project_id}/os-volumes ecs:serverVolumes:use evs:volumes:create √ × × × 删除磁盘（OpenStack原生） DELETE /v2.1/{project_id}/os-volumes/{volume_id} ecs:serverVolumes:use evs:volumes:get evs:volumes:delete √ × × × 查询指定磁盘信息（OpenStack原生） GET /v2.1/{project_id}/os-volumes/{volume_id} ecs:serverVolumes:use evs:volumes:get √ × × × 查询磁盘列表（OpenStack原生） GET /v2.1/{project_id}/os-volumes ecs:serverVolumes:use evs:volumes:get evs:volumes:list √ × × × 查询磁盘详情列表（OpenStack原生） GET /v2.1/{project_id}/os-volumes/detail ecs:serverVolumes:use evs:volumes:get evs:volumes:list √ × × × 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，请参考IAM与企业管理的区别。 ServiceStage的支持自定义策略授权项，请参考表1。 表1 ServiceStage授权项明细 权限 对应API接口 授权项 IAM项目 企业项目 创建应用 POST /v3/{project_id}/cas/applications servicestage:app:create √ √ 删除应用 DELETE /v3/{project_id}/cas/applications/{application_id} servicestage:app:delete √ √ 更新应用 PUT /v3/{project_id}/cas/applications/{application_id} servicestage:app:modify √ √ 查看应用列表 GET /v3/{project_id}/cas/applications servicestage:app:list √ √ 查询应用信息 GET /v3/{project_id}/cas/applications/{application_id} servicestage:app:get √ √ 修改工程 - servicestage:project:modify √ √ 创建工程 - servicestage:project:create √ √ 审批应用 - servicestage:app:approve √ √ 查看流水线列表 - servicestage:pipeline:list √ √ 修改构建 - servicestage:assembling:modify √ √ 审批流水线 - servicestage:pipeline:review √ √ 执行流水线 - servicestage:pipeline:execute √ √ 查看构建信息 - servicestage:project:get √ √ 删除构建 - servicestage:assembling:delete √ √ 删除流水线 - servicestage:pipeline:delete √ √ 删除工程 - servicestage:project:delete √ √ 修改流水线 - servicestage:pipeline:modify √ √ 创建构建 - servicestage:assembling:create √ √ 查看构建列表 - servicestage:assembling:list √ √ 查看构建信息 - servicestage:assembling:get √ √ 查看工程列表 - servicestage:project:list √ √ 查看流水线信息 - servicestage:pipeline:get √ √ 创建流水线 - servicestage:pipeline:create √ √

端口 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询端口 GET /v1/{project_id}/ports vpc:ports:get √ √ 查询端口详情 GET /v1/{project_id}/ports/{port_id} vpc:ports:get √ √ 更新端口 PUT /v1/{project_id}/ports/{port_id} vpc:ports:update √ √ 删除端口 DELETE /v1/{project_id}/ports/{port_id} vpc:ports:delete √ √ 创建端口 POST / v1/{project_id}/ports vpc:ports:create √ √ 父主题： 权限和授权项

标签管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 列出绑定到指定资源的标签 GET /v1/organizations/resources/{resource_id}/tags organizations:tags:list × × 为指定的资源添加标签 POST /v1/organizations/resources/{resource_id}/tag organizations:resources:tag × × 从指定资源中删除指定主键标签 POST /v1/organizations/resources/{resource_id}/untag organizations:resources:untag × × 列出绑定到指定资源的标签 GET /v1/organizations/{resource_type}/{resource_id}/tags organizations:tags:list × × 为指定资源添加标签 POST /v1/organizations/{resource_type}/{resource_id}/tags/create organizations:resources:tag × × 从指定资源中删除指定主键标签 POST /v1/organizations/{resource_type}/{resource_id}/tags/delete organizations:resources:untag × × 根据资源类型及标签信息查询实例列表 POST /v1/organizations/{resource_type}/resource-instances/filter organizations:resources:listByTag × × 根据资源类型及标签信息查询实例数量 POST /v1/organizations/{resource_type}/resource-instances/count organizations:resources:countByTag × × 查询资源标签 GET /v1/organizations/{resource_type}/tags organizations:resources:list × ×

其他 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 查询有效的策略 GET /v1/organizations/entities/effective-policies organizations:effectivePolicies:get × × 列出组织中的根、组织单元和账号 GET /v1/organizations/entities organizations:entities:list × × 列出所有可以与组织服务集成的云服务 GET /v1/organizations/services organizations:services:list × × 列出被添加到标签策略强制执行的资源类型 GET /v1/organizations/tag-policy-services organizations:tagPolicyServices:list × × 列出租户的组织配额 GET /v1/organizations/quotas organizations:quotas:list × ×

委托管理员管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 注册作为服务委托管理员 POST /v1/organizations/delegated-administrators/register organizations:delegatedAdministrators:register × × 注销服务的委托管理员 POST /v1/organizations/delegated-administrators/deregister organizations:delegatedAdministrators:deregister × × 列出指定账号是其委托管理员的服务 GET /v1/organizations/accounts/{account_id}/delegated-services organizations:delegatedServices:list × × 列出此组织中指定为委托管理员的账号 GET /v1/organizations/delegated-administrators organizations:delegatedAdministrators:list × ×

可信服务管理 权限 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 启用可信服务 POST /v1/organizations/enable-trusted-service organizations:trustedServices:enable × × 禁用受信任服务 POST /v1/organizations/disable-trusted-service organizations:trustedServices:disable × × 列出组织的可信服务列表 GET /v1/organizations/trusted-services organizations:trustedServices:list × ×