华为云用户手册

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeArts Governance定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于CodeArts Governance定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下CodeArts Governance的相关操作。 表1 CodeArts Governance支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 codeartsgovernance::getBinaryUser 授予权限以查询用户订阅信息。 read - - codeartsgovernance::subscribeBinaryUser 授予权限以创建开源治理服务的套餐订单。 write - - codeartsgovernance::getBinaryOverview 授予权限以查看资产信息总览。 read - - codeartsgovernance::getBinaryVersion 授予权限以查询二进制成分分析版本。 read - - codeartsgovernance::getBinaryTask 授予权限以查看二进制成分分析任务状态。 read - - codeartsgovernance::listBinaryTask 授予权限以获取二进制成分分析任务列表。 list - - codeartsgovernance::createBinaryTask 授予权限以创建二进制成分分析任务。 write - - codeartsgovernance::stopBinaryTask 授予权限以停止二进制成分分析任务。 write - - codeartsgovernance::deleteBinaryTask 授予权限以删除二进制成分分析任务。 write - - codeartsgovernance::compareBinaryReport 授予权限以对比二进制成分分析扫描报告。 read - - codeartsgovernance::getBinaryReportOverview 授予权限以查询二进制成分分析任务报告概况。 read - - codeartsgovernance::getBinaryReportOpenSource 授予权限以查询二进制成分分析开源软件漏洞报告。 read - - codeartsgovernance::getBinaryReportLicense 授予权限以查询二进制成分分析开源软件许可报告。 read - - codeartsgovernance::getBinaryReportInfoLeak 授予权限以查询二进制成分分析密钥和信息泄露报告。 read - - codeartsgovernance::getBinaryReportSecCompile 授予权限以查询二进制成分分析安全编译选项报告。 read - - codeartsgovernance::getBinaryReportSecConfig 授予权限以查询二进制成分分析安全配置报告。 read - - codeartsgovernance::getBinaryReportMalware 授予权限以查询二进制成分分析恶意软件扫描报告。 read - - codeartsgovernance::downloadBinaryExcel 授予权限以下载二进制成分分析Excel报告文件。 read - - codeartsgovernance::downloadBinaryPdf 授予权限以下载二进制成分分析PDF报告文件。 read - - codeartsgovernance::getBinaryVuln 授予权限以查询漏洞信息。 read - - codeartsgovernance::getBinaryLicense 授予权限以查询许可证信息。 read - - codeartsgovernance::updateBinaryLicense 授予权限以更新许可证信息。 write - - codeartsgovernance::getOsiInfo 授予权限以查询OSI软件信息。 read - -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如sfsturbo:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SFS Turbo定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 sfsturbo支持的服务级条件键 服务级条件键 类型 单值/多值 说明 sfsturbo:CryptKeyId string 单值 根据请求参数中指定的密钥 ID 过滤访问

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如workspace:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 云桌面 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 云桌面支持的服务级条件键 服务级条件键 类型 单值/多值 说明 workspace:AccessMode string 多值 根据请求参数中指定的接入方式过滤访问，有效的条件值应为INTERNET、DEDICATED、BOTH。 workspace:CreateOrderType string FALSE 根据请求参数中指定的创建订单类型过滤访问，有效的条件值应为createDesktops、addVolumes、createDehHosts、rebuildDesktops、createDesktopPool、expandDesktopPool、applyDesktopsInternet、createExclusiveHosts、subscribeUserSharer、createApps。 workspace:ChangeOrderType string FALSE 根据请求参数中指定的变更订单类型过滤访问，有效的条件值应为resizeDesktops、expandVolumes、meteredToPeriod、ADD_VOLUME、EXTEND_VOLUME、RESIZE、CHANGE_IMAGE、ADD_SUB_RESOUR CES 、DELETE_SUB_RESOURCES。 workspace:AssociatePublicIp boolean FALSE 按照关联eip开关值筛选桌面绑定eip的权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cc:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：条件键。 CC定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CC支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cc:VpcId string 单值 根据指定的虚拟私有云资源ID过滤访问。 cc:VirtualGatewayId string 单值 根据指定的专线虚拟网络资源ID过滤访问。 cc:EnterpriseRouterId string 单值 根据指定的企业路由器资源ID过滤访问。 cc:MultipleEnterpriseRouterIds string 多值 根据指定的多个企业路由器资源ID过滤访问。 cc:BandwidthPackageId string 单值 根据指定的带宽包资源ID过滤访问。 cc:GlobalConnectionBandwidthId string 单值 根据指定的全域互联带宽资源ID过滤访问。 cc:GlobalDcGatewayId string 单值 根据指定的全球接入网关资源ID过滤访问。

条件（Condition） 条件键概述 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如css:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CSS 支持的服务级条件键 CS S定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CSS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 css:AssociatePublicIp boolean 单值 是否允许实例开启公网访问。 条件键示例 css:AssociatePublicIp 示例：禁止创建带EIP的CSS集群 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "css:cluster:create" ], "Condition": { "Bool": { "css:AssociatePublicIp": [ "true" ] } } } ] } 示例：禁止给CSS集群绑定EIP { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "css:publicIPAddress:associates", "css:publicKibana:open" ] } ] }

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如evs:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 EVS定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 EVS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 evs:KmsKeyId string 单值 根据云硬盘的密钥ID过滤访问。 evs:Encrypted boolean 单值 根据云硬盘是否加密过滤访问。 evs:KmsKeyId string 单值 根据云硬盘的密钥ID过滤访问。 evs:ImageId string 单值 根据镜像ID过滤访问。 evs:BackupId string 单值 根据备份ID过滤访问。 evs:SnapshotId string 单值 根据快照ID过滤访问。 evs:AvailabilityZone string 单值 根据云硬盘的可用区过滤访问。 evs:SourceAvailabilityZone string 单值 根据源AZ过滤访问。 evs:VolumeType string 单值 根据云硬盘的类型过滤访问。 evs:VolumeSize numeric 单值 根据云硬盘的大小过滤访问。 evs:VolumeIops numeric 单值 根据云硬盘的IOPS过滤访问。 evs:VolumeThroughput numeric 单值 根据云硬盘的吞吐量过滤访问。 evs:ChargingMode string 单值 根据云硬盘的计费模式过滤访问。 evs:ServerServiceType string 单值 根据云服务器服务类型过滤访问。 evs:VolumeId string 单值 根据云硬盘ID过滤访问。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于RGC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于RGC定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 别名 rgc:control:list 授予列出控制策略的权限。 List - - - rgc:controlViolation:list 授予列出不合规信息的权限。 List - - - rgc:control:get 授予获取控制策略详细信息的权限。 Read - - - rgc:control:enable 授予开启控制策略的权限。 Write - - - rgc:control:disable 授予关闭控制策略的权限。 Write - - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 Read - - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 List - - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 List - - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 List - - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 Read - - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 Read - - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 Read - - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 Read - - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 List - - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 List - - - rgc:driftDetail:list 授予列出漂移信息的权限。 List - - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 Write - - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 Write - - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 Write - - - rgc:operation:get 授予获取注册过程信息的权限。 Read - - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 Write - - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 Read - - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 Write - - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 List - - - rgc:managedAccount:enroll 授予纳管账号的权限。 Write - - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 Write - - - rgc:managedAccount:update 授予更新纳管账号的权限。 Write - - - rgc:managedAccount:get 授予获取纳管账号的权限。 Read - - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 List - - - rgc:managedAccount:create 授予创建账号的权限。 Write - - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 List - - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 Read - - - rgc:homeRegion:get 授予查询主区域的权限。 Read - - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 Write - - - rgc:landingZone:setup 授予设置Landing Zone的权限。 Write - - - rgc:landingZone:delete 授予删除Landing Zone的权限。 Write - - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 Read - - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 Read - - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 Read - - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 Read - - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 List - - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 Read - - - rgc:template:create 授予创建模板的权限。 Write - - - rgc:template:delete 授予删除模板的权限。 Write - - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 List - - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 Read - - - RGC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。

条件（Condition） 条件键概述 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如DataArtsStudio:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DataArts Studio 支持的服务级条件键 DataArts Studio定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DataArts Studio支持的服务级条件键 服务级条件键 类型 单值/多值 说明 DataArtsStudio:EnablePublicAccess boolean 单值 是否开启公网访问。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于 OMS 定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于OMS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下OMS的相关操作。 表1 OMS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 oms:task:list 授予查询任务列表权限 list task - oms:task:create 授予创建任务权限 write task - oms:task:get 授予查询指定任务权限 read task - oms:task:delete 授予删除任务权限 write task - oms:task:update 授予更新指定任务权限 write task - oms:synctask:list 授予查询同步任务列表权限 list synctask - oms:synctask:create 授予创建同步任务权限 write synctask - oms:synctask:get 授予查询指定同步任务权限 read synctask - oms:synctask:delete 授予删除指定同步任务权限 write synctask - oms:synctask:statistics 授予查询指定同步任务统计信息权限 read synctask - oms:synctask:update 授予更新指定同步任务权限 write synctask - oms:synctask:createEvent 授予创建指定同步任务事件权限 write synctask - oms:taskgroup:create 授予创建任务组权限 write taskgroup - oms:taskgroup:list 授予查询任务组列表权限 list taskgroup - oms:taskgroup:get 授予查询指定任务组信息权限 read taskgroup - oms:taskgroup:delete 授予删除指定任务组权限 write taskgroup - oms:taskgroup:update 授予更新指定任务组权限 write taskgroup - oms::listObjects 授予查询桶的对象列表权限 list - - oms::checkCdnInfo 授予检查桶的CDN连通性权限 read - - oms::listBuckets 授予查询桶列表权限 list - - oms::listBucketRegions 授予查询桶区域列表的权限 list - - oms::checkBucketPrefix 授予检查桶对象前缀的权限 read - - oms::listCloudRegions 授权查询源端厂商支持区域列表的权限 list - - oms::listCloudTypes 授予查询支持云厂商列表的权限 list - - OMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v2/{project_id}/tasks oms:task:list - POST /v2/{project_id}/tasks oms:task:create - GET /v2/{project_id}/tasks/{task_id} oms:task:get - DELETE /v2/{project_id}/tasks/{task_id} oms:task:delete - POST /v2/{project_id}/tasks/{task_id}/stop oms:task:update - POST /v2/{project_id}/tasks/{task_id}/start oms:task:update - PUT /v2/{project_id}/tasks/{task_id}/bandwidth-policy oms:task:update - PUT /v2/{project_id}/tasks/{task_id}/access-keys oms:task:update - GET /v2/{project_id}/sync-tasks oms:synctask:list - POST /v2/{project_id}/sync-tasks oms:synctask:create - GET /v2/{project_id}/sync-tasks/{sync_task_id} oms:synctask:get - DELETE /v2/{project_id}/sync-tasks/{sync_task_id} oms:synctask:delete - GET /v2/{project_id}/sync-tasks/{sync_task_id}/statistics oms:synctask:statistics - POST /v2/{project_id}/sync-tasks/{sync_task_id}/stop oms:synctask:update - POST /v2/{project_id}/sync-tasks/{sync_task_id}/start oms:synctask:update - POST /v2/{project_id}/sync-tasks/{sync_task_id}/events oms:synctask:createEvent - POST /v2/{project_id}/taskgroups oms:taskgroup:create - GET /v2/{project_id}/taskgroups oms:taskgroup:list - GET /v2/{project_id}/taskgroups/{group_id} oms:taskgroup:get - DELETE /v2/{project_id}/taskgroups/{group_id} oms:taskgroup:delete - PUT /v2/{project_id}/taskgroups/{group_id}/stop oms:taskgroup:update - PUT /v2/{project_id}/taskgroups/{group_id}/start oms:taskgroup:update - PUT /v2/{project_id}/taskgroups/{group_id}/retry oms:taskgroup:update - PUT /v2/{project_id}/taskgroups/{group_id}/update oms:taskgroup:update - POST /v2/{project_id}/objectstorage/buckets/objects oms::listObjects - POST /v2/{project_id}/objectstorage/buckets/cdn-info oms::checkCdnInfo - POST /v2/{project_id}/objectstorage/buckets oms::listBuckets - POST /v2/{project_id}/objectstorage/buckets/regions oms::listBucketRegions - POST /v2/{project_id}/objectstorage/buckets/prefix oms::checkBucketPrefix - GET /v2/{project_id}/objectstorage/data-center oms::listCloudRegions - GET /v2/{project_id}/objectstorage/cloud-type oms::listCloudTypes -

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于 SMS 定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于SMS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下SMS的相关操作。 表1 SMS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 sms:template:list 授予查询模板列表权限 list template - sms:template:create 授予新增模板信息权限 write template - sms:template:batchDelete 授予批量删除指定ID的模板权限 write template - sms:template:get 授予查询指定ID模板信息权限 read template - sms:template:update 授予修改模板信息权限 write template - sms:template:getTargetPassword 授予查询指定ID的模板中的目的端服务器的密码权限 read template - sms:template:delete 授予删除指定ID的模板权限 write template - sms:server:listErrors 授予查询待迁移源端的所有错误权限 list server - sms:server:list 授予查询源端服务器列表权限 list server g:EnterpriseProjectId sms:server:register 授予上报源端服务器基本信息权限 write server g:EnterpriseProjectId sms:server:batchDelete 授予批量删除源端服务器信息权限 write server g:EnterpriseProjectId sms:server:get 授予查询指定ID的源端服务器权限 read server g:EnterpriseProjectId sms:server:update 授予修改指定ID的源端服务器名称权限 write server g:EnterpriseProjectId sms:server:delete 授予删除指定ID的源端服务器信息权限 write server g:EnterpriseProjectId sms:server:updateDiskInfo 授予更新磁盘信息权限 write server g:EnterpriseProjectId sms:server:overview 获取服务器总览权限 read server - sms:server:updateState 授予更新任务对应源端复制状态权限 write server g:EnterpriseProjectId sms:server:listTask 授予查询迁移任务列表权限 list server g:EnterpriseProjectId sms:server:createTask 授予创建迁移任务权限 write server g:EnterpriseProjectId sms:server:batchDeleteTask 授予批量删除迁移任务权限 write server g:EnterpriseProjectId sms:server:getTask 授予查询指定ID的迁移任务权限 read server g:EnterpriseProjectId sms:server:updateTask 授予更新指定ID的迁移任务权限 write server g:EnterpriseProjectId sms:server:deleteTask 授予删除指定ID的迁移任务权限 write server g:EnterpriseProjectId sms:server:manageTask 授予管理迁移任务权限 write server g:EnterpriseProjectId sms:server:updateTaskProgress 授予上报数据迁移进度和速率权限 write server g:EnterpriseProjectId sms:server:unlock 授予解锁指定任务的目的端服务器权限 write server g:EnterpriseProjectId sms:server:collectLog 授予上传迁移任务的日志权限 write server g:EnterpriseProjectId sms:server:getTaskPassphrase 授予查询指定任务ID的安全传输通道的证书passphrase权限 read server g:EnterpriseProjectId sms:server:checkNetwork 授予检查网卡安全组端口是否符合要求权限 read server - sms:server:getTaskSpeedLimit 授予查询任务限速规则权限 read server g:EnterpriseProjectId sms:server:updateTaskSpeedLimit 授予设置迁移限速规则权限 write server g:EnterpriseProjectId sms:server:getCommand 授予获取服务端命令权限 read server g:EnterpriseProjectId sms:server:updateCommandResult 授予上报服务端命令执行结果权限 write server g:EnterpriseProjectId sms:server:getCert 授予获取SSL证书和私钥权限 read server g:EnterpriseProjectId sms:migproject:list 授予获取项目列表权限 list migproject - sms:migproject:create 授予新建迁移项目权限 write migproject - sms:migproject:get 授予查询指定ID迁移项目详情权限 read migproject - sms:migproject:update 授予更新迁移项目信息权限 write migproject - sms:migproject:delete 授予删除迁移项目权限 write migproject - sms:migproject:update 授予更新默认迁移项目权限 write migproject - sms::getConfig 授予获取Agent配置信息权限 read - - sms:server:updateNetworkCheckInfo 授予更新网络检测相关的信息权限 write task g:EnterpriseProjectId sms:server:getTaskConfig 授予查询任务配置权限 read task g:EnterpriseProjectId sms:server:updateTaskConfig 授予更新任务配置权限 write task g:EnterpriseProjectId SMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v3/vm/templates sms:template:list - POST /v3/vm/templates sms:template:create - POST /v3/vm/templates/delete sms:template:batchDelete - GET /v3/vm/templates/{id} sms:template:get - PUT /v3/vm/templates/{id} sms:template:update - GET /v3/vm/templates/{id}/target-password sms:template:getTargetPassword - DELETE /v3/vm/templates/{id} sms:template:delete - GET /v3/errors sms:server:listErrors - GET /v3/sources sms:server:list - POST /v3/sources sms:server:register - POST /v3/sources/delete sms:server:batchDelete ecs:cloudServers:showServer ecs:cloudServers:attach evs:volumes:use ecs:cloudServers:stop ecs:cloudServers:start ecs:cloudServers:detachVolume evs:volumes:delete evs:snapshots:delete evs:volumes:get GET /v3/sources/{source_id} sms:server:get - PUT /v3/sources/{source_id} sms:server:update - DELETE /v3/sources/{source_id} sms:server:delete ecs:cloudServers:showServer ecs:cloudServers:attach evs:volumes:use ecs:cloudServers:stop ecs:cloudServers:start ecs:cloudServers:detachVolume evs:volumes:delete evs:snapshots:delete evs:volumes:get PUT /v3/sources/{source_id}/diskinfo sms:server:updateDiskInfo - GET /v3/sources/overview sms:server:overview - PUT /v3/sources/{source_id}/changestate sms:server:updateState - GET /v3/tasks sms:server:listTask - POST /v3/tasks sms:server:createTask - POST /v3/tasks/delete sms:server:batchDeleteTask ecs:cloudServers:showServer ecs:cloudServers:attach evs:volumes:use ecs:cloudServers:stop ecs:cloudServers:start ecs:cloudServers:detachVolume evs:volumes:delete evs:snapshots:delete evs:volumes:get GET /v3/tasks/{task_id} sms:server:getTask - PUT /v3/tasks/{task_id} sms:server:updateTask - DELETE /v3/tasks/{task_id} sms:server:deleteTask ecs:cloudServers:showServer ecs:cloudServers:attach evs:volumes:use ecs:cloudServers:stop ecs:cloudServers:start ecs:cloudServers:detachVolume evs:volumes:delete evs:snapshots:delete evs:volumes:get POST /v3/tasks/{task_id}/action sms:server:manageTask - PUT /v3/tasks/{task_id}/progress sms:server:updateTaskProgress - POST /v3/tasks/{task_id}/unlock sms:server:unlock - POST /v3/tasks/{task_id}/log sms:server:collectLog - GET /v3/tasks/{task_id}/passphrase sms:server:getTaskPassphrase - GET /v3/tasks/{t_project_id}/networkacl/{t_network_id}/check sms:server:checkNetwork - GET /v3/tasks/{task_id}/speed-limit sms:server:getTaskSpeedLimit - POST /v3/tasks/{task_id}/speed-limit sms:server:updateTaskSpeedLimit - GET /v3/sources/{server_id}/command sms:server:getCommand - POST /v3/sources/{server_id}/command_result sms:server:updateCommandResult - GET /v3/tasks/{task_id}/certkey sms:server:getCert - GET /v3/migprojects sms:migproject:list - POST /v3/migprojects sms:migproject:create - GET /v3/migprojects/{mig_project_id} sms:migproject:get - PUT /v3/migprojects/{mig_project_id} sms:migproject:update - DELETE /v3/migprojects/{mig_project_id} sms:migproject:delete - PUT /v3/migprojects/{mig_project_id}/default sms:migproject:update - GET /v3/config sms::getConfig - POST /v3/{task_id}/update-network-check-info sms:server:updateNetworkCheckInfo - POST /v3/tasks/{task_id}/configuration-setting sms:server:updateTaskConfig -

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于BSS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于BSS定义的条件键的详细信息请参见表1。 您可以在SCP语句的Action元素中指定以下BSS的相关操作。 表1 BSS 支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 billing:contract:viewDiscount 授予查看商务折扣的权限 read - - billing:balance:view 授予查看收支明细，付款历史记录，消费配额，调账记录，欠费查询的权限 list - - billing:coupon:view 授予查看优惠券、储值卡、激活代金券的权限 read - - billing:order:view 授予查看订单信息、查看按需套餐包的权限 list - - billing:order:pay 授予支付订单的权限 write - - billing:subscription:renew 授予续费、设置自动续费、设置到期策略、按需转包年/包月的权限 write billing:subscription:unsubscribe 授予查看可退订资源，退订资源，取消发货，硬件退换货的权限 write - - billing:resourcePackages:view 授予查看资源包，剩余量汇总，使用明细查询/导出的权限 list - - billing:billDetail:view 授予查看账单明细的权限 read - - billing:bill:view 授予查看账单、本月消费、近7天扣费资源，消费走势的权限 list - - costCenter:costAnalysis:listCosts 授予查看成本分析的权限 read - - Billing::activeEPFinance 授予开通企业项目功能的权限 write - - businessUnitCenter:businessUnit:view 授予查看组织与账号的权限 read - - businessUnitCenter:businessUnitFinance:view 授予查看企业组织财务信息的权限 read - - businessUnitCenter:businessUnit:update 授予修改企业组织与子账号的权限 write - - businessUnitCenter:businessUnitFinance:update 授予修改企业组织财务信息的权限 write - - Billing::updateEPFundQuota 授予开通企业项目功能的权限 write - - Billing::viewEPFundQuota 授予查询企业项目资金配额的权限 read - - Billing::activeEPFundQuota 授予开通/关闭企业项目资金配额功能的权限 write - - BSS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系（当前API均无需要依赖的授权项） 场景 子场景 接口名称 接口URL 授权项 授权项描述 管理产品 查询商品价格 查询按需产品价格 POST /v2/bills/ratings/on-demand-resources billing:contract:viewDiscount 查看折扣、价格信息。 查询包年/包月产品价格 POST /v2/bills/ratings/period-resources/subscribe-rate billing:contract:viewDiscount 查看折扣、价格信息 查询包年/包月资源的续订金额 POST /v2/bills/ratings/period-resources/renew-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理产品 查询商品价格 查询待退订包年/包月资源的退订金额 POST /v2/bills/ratings/period-resources/unsubscribe-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理账户 管理账户 查询账户余额 GET /v2/accounts/customer-accounts/balances billing:balance:view 查看账户信息。 查询储值卡列表 GET /v2/promotions/benefits/stored-value-cards billing:coupon:view 查看优惠券、现金券、代金券。 查询收支明细 GET /v2/accounts/customer-accounts/account-change-records billing:balance:view 查看账户信息。 管理交易 管理优惠券 查询优惠券列表 GET /v2/promotions/benefits/coupons billing:coupon:view 查看优惠券、现金券、代金券。 管理包年/包月订单 查询订单列表 GET /v2/orders/customer-orders billing:order:view 查看订单信息。 查询订单详情 GET /v2/orders/customer-orders/details/{order_id} billing:order:view 查看订单信息。 支付包年/包月产品订单 POST /v2/orders/customer-orders/pay billing:order:pay 订单支付。 查询订单可用优惠券 GET /v2/orders/customer-orders/order-coupons billing:order:view 查看订单信息。 查询订单可用折扣 GET /v2/orders/customer-orders/order-discounts billing:contract:viewDiscount 查看折扣、价格信息。 支付包年/包月产品订单 POST /v3/orders/customer-orders/pay billing:order:pay 订单支付。 查询退款订单的金额详情 GET /v2/orders/customer-orders/refund-orders billing:order:view 查看订单信息。 管理包年/包月资源 查询客户包年/包月资源列表 POST /v2/orders/suscriptions/resources/query billing:subscription:view billing:order:view（待下线） 查看订单信息。 续订包年/包月资源 POST /v2/orders/subscriptions/resources/renew billing:subscription:renew 下单、取消订单、修改收货地址。 退订包年/包月资源 POST /v2/orders/subscriptions/resources/unsubscribe billing:subscription:unsubscribe 下单、取消订单、修改收货地址。 云服务粒度退订鉴权常见问题. 设置包年/包月资源自动续费 POST /v2/orders/subscriptions/resources/autorenew/** billing:subscription:renew 下单、取消订单、修改收货地址。 取消包年/包月资源自动续费 DELETE /v2/orders/subscriptions/resources/autorenew/{resource_id} billing:subscription:renew 下单、取消订单、修改收货地址。 设置或取消包年/包月资源到期转按需 POST /v2/orders/subscriptions/resources/to-on-demand billing:subscription:renew 下单、取消订单、修改收货地址。 管理资源包 查询资源包列表 POST /v3/payments/free-resources/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源包使用明细 GET /v2/bills/customer-bills/free-resources-usage-records billing:resourcePackages:view billing:billDetail:view（待下线） 查看消费明细、资源消费、账单分析、付款历史记录。 查询资源包使用量 POST /v2/payments/free-resources/usages/details/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源详单 POST /v2/bills/customer-bills/res-records/query billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询汇总账单 GET /v2/bills/customer-bills/monthly-sum billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源消费记录 GET /v2/bills/customer-bills/res-fee-records billing:billDetail:view billing:bill:view（待下线） 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询流水账单 GET /v2/bills/customer-bills/fee-records billing:billDetail:view billing:bill:view（待下线） 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询95计费资源用量 查询95计费资源用量明细 GET /v2/bills/customer-bills/resources/usage/details billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询95计费资源用量汇总 GET /v2/bills/customer-bills/resources/usage/summary billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源消费记录（for 爱奇艺） GET /v2/bills/customer-bills/res-fee-details billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询整机资源详单 GET /v2/bills/customer-bills/res-merge-records billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询客户资源按天消费汇总 POST /v1.0/{domain_id}/customer/account-mgr/bill/resource-daily billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理成本 管理成本 查询月度成本 GET /v2/costs/cost-analysed-bills/monthly-breakdown costCenter:costDetail:listCostDetails costCenter:costAnalysis:listCosts（待下线） 查看成本分析。 查询成本数据 POST /v4/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理成本 管理成本 查询成本数据分析结果 POST /v3/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 查询成本数据分析结果 POST /v2/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理企业 管理企业项目 开通客户企业项目权限 POST /v2/enterprises/enterprise-projects/authority Billing::activeEPFinance 开通企业项目功能。 管理企业多账号 查询企业子账号列表 GET /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业组织结构 GET /v2/enterprises/multi-accounts/enterprise-organizations businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业主的可拨款余额 GET /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 查询企业子账号可回收余额 GET /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 创建企业子账号 POST /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 修改企业组织与子账号 企业主账号向企业子账号拨款 POST /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 企业主账号从企业子账号回收余额 POST /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 查询企业主账号可拨款优惠券列表 GET /v2/enterprises/multi-accounts/transfer-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 查询企业子账号可回收优惠券列表 GET /v2/enterprises/multi-accounts/retrieve-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 企业主账号向企业子账号拨款优惠券 POST v2/enterprises/multi-accounts/transfer-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 企业主账号从企业子账号回收优惠券 POST /v2/enterprises/multi-accounts/retrieve-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 管理企业 管理企业多账号 修改企业项目资金配额 PUT /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::updateEPFundQuota 修改企业项目资金配额财务。 查询企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas/batch-query Billing::viewEPFundQuota 查询企业项目资金配额。 关闭企业项目资金配额 DELETE /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。 开通企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。消息中心仅支持对所有资源有效，通配符号*表示所有。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下消息中心的相关操作。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。企业中心仅支持对所有资源有效，通配符号*表示所有。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下企业中心的相关操作。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。账号中心仅支持对所有资源有效，通配符号*表示所有。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下账号中心的相关操作。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。成本中心仅支持对所有资源有效，通配符号*表示所有。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下成本中心的相关操作。 表1 支持的授权项 操作项 描述 访问级别 资源类型 条件键 costCenter:costAnalysis:listCosts 授予查看成本分析的权限。 read - - costCenter:costAnalysis:configReport 授予设置成本报告，新建、修改、删除自定义成本报告的权限。 write - - costCenter:costAnalysis:listReports 授予查看成本报告列表的权限。 read - - costCenter:costDetail:listCostDetails 授予查询成本明细的权限。 read - - costCenter:budget:configBudget 授予设置预算，包括新建、修改、删除预算的权限。 write - - costCenter:budget:viewBudget 授予查看预算信息，包括查看预算列表、查看预算详情的权限。 read - - costCenter:budget:deleteBudgetReport 授予删除预算报告的权限。 write - - costCenter:budget:configBudgetReport 授予新增、修改预算报告的权限。 write - - costCenter:budget:viewBudgetReport 授予查看预算报告，包括预算报告列表和详情的权限。 read - - costCenter:costAnomalyDetection:deleteMonitor 授予删除监视器的权限。 write - - costCenter:costAnomalyDetection:configMonitor 授予新增、编辑监控器的权限。 write - - costCenter:costAnomalyDetection:viewMonitor 授予查看监视器列表和异常成本记录的权限。 read - - costCenter:costAnomalyDetection:configMonitorAlert 授予设置异常成本监控提醒的权限。 write - - costCenter:costAnomalyDetection:viewMonitorAlert 授予查看异常成本监控提醒的权限。 read - - costCenter:costAnomalyDetection:provideFeedback 授予提供异常成本评估的权限。 read - - costCenter:recommendation:viewRecommendationSummary 授予查看成本建议概览的权限。 read - - costCenter:recommendation:viewRecommendationSubscription 授予查询成本建议订阅的权限。 read - - costCenter:recommendation:configRecommendationSubscription 授予设置/删除成本建议订阅的权限。 write - - costCenter:recommendation:viewYearlyMonthlyRecommendation 授予查看按需转包年包月成本优化评估的权限。 read - - costCenter:recommendation:viewResourcePkgRecommendation 授予查看资源包购买建议的权限。 read - - costCenter:recommendation:viewResourceOptimizeRecommendation 授予查看空闲资源优化建议的权限。 read - - costCenter:recommendation:configPreference 授予设置空闲资源规则的权限。 write - - costCenter:costTag:updateStatus 授予激活/取消激活成本标签的权限。 write - - costCenter:costTag:listCostTags 授予查看成本标签的权限。 read - - costCenter:costCategory:deleteCostCategory 授予删除成本单元的权限。 write - - costCenter:costCategory:configCostCategory 授予设置成本单元，包括新建、编辑成本单元的权限。 write - - costCenter:costCategory:viewCostCategory 授予查看成本单元，包括成本单元列表和详情的权限。 read - - costCenter:resourcePackage:viewResourcePkgAnalysis 授予查看资源包使用率/覆盖率分析的权限。 read - - costCenter:savingsPlans:viewSavingsPlansAnalysis 授予查看节省计划使用率/覆盖率分析的权限。 read - - costCenter:reserveInstance:viewRIAnalysis 授予查看预留实例使用率/覆盖率分析的权限。 read - - costCenter:savingsPlans:viewSavingsPlans 授予查看节省计划实例的权限。 read - - costCenter:recommendation:viewSavingsPlansRecommendation 授予查看节省计划购买建议的权限。 read - - costCenter::updateCostConfig 授予开启成本特性的权限。 write - - costCenter:preference:delete 授予关闭成本特性的权限。 write - - costCenter:costdetailreport:viewReportTask 授予查看成本明细OBS导出任务列表的权限。 read - - costCenter:costdetailreport:configReportTask 授予创建/修改/删除成本明细OBS导出任务的权限。 write - - costCenter:helper:listCostAllocations 授予查看成本分配占比统计的权限。 list - - costCenter:helper:viewCostRating 授予查看成熟度评分的权限。 read - -

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下费用中心的相关操作。

操作（Action） 操作（Action）即为身份策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在身份策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于TaurusDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于TaurusDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下TaurusDB的相关操作。 表1 TaurusDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdbformysql:backup:modifyPolicy 授予设置自动备份策略的权限。 permission_management - - gaussdbformysql:param:delete 授予删除参数组的权限。 permission_management - - gaussdbformysql:instance:switchover 授予手动主备切换的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:auditlog:list 授予实例获取审计日志列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:backup:create 授予创建手动备份权限。 write - - gaussdbformysql:backup:delete 授予删除备份的权限。 write - - gaussdbformysql:backup:getRestoreTime 授予获取实例可恢复时间点的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:backup:list 授予获取备份列表的权限。 list - - gaussdbformysql:backup:listPolicy 授予获取备份策略的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:create 授予实例创建数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:delete 授予实例删除数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:list 授予实例查询数据库列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:modify 授予修改数据库相关信息的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:addReadOnlyNodes 授予添加只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:create 授予创建实例的权限。 write - g:EnterpriseProjectId gaussdbformysql:instance:delete 授予删除实例的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteSqlFilterRules 授予删除Sql限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:get 授予获取实例详情的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getDcc 授予获取专属资源池详情的权限。 read - - gaussdbformysql:instance:getSqlFilterRule 授予获取SQL限流规则的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getSqlFilterStatus 授予获取SQL限流开关状态的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:list 授予获取实例列表的权限。 list - - gaussdbformysql:proxy:list 授予获取数据库代理列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:proxy:listSpec 授予获取数据库代理规格列表的权限。 list - - gaussdbformysql:instance:listDcc 授予获取专属资源列表的权限。 list - - gaussdbformysql:instance:listEngine 授予查询引擎信息的权限。 list - - gaussdbformysql:instance:listSpec 授予查询规格列表的权限。 list - - gaussdbformysql:auditlog:operate 授予开启关闭审计日志的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:bindPublicIp 授予实例绑定公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteReadOnlyNodes 授予实例删除只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyVip 授予实例修改读写内网地址的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyMaintenanceWindow 授予修改实例运维时间窗的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecondLevelMonitorPolicy 授予修改实例秒级监控频率的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPassword 授予修改实例密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPort 授予修改实例端口的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecurityGroup 授予修改实例安全组的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySSL 授予修改SSL开关的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyStorageSize 授予实例磁盘扩缩容的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:rename 授予修改实例名称的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:unbindPublicIp 授予实例解绑公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:upgrade 授予实例升级内核版本的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:user:create 授予实例创建数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:addNodes 授予数据库代理节点扩容的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:create 授予开启数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:delete 授予关闭数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifySpec 授予数据库代理规格变更的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyWeight 授予修改数据库代理权重的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySpec 授予变更实例规格的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restart 授予重启实例的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restoreInPlace 授予备份恢复到已有实例的权限。 permission_management - - gaussdbformysql:instance:setSqlFilterRules 授予设置SQL限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:setSqlFilterStatus 授予开启/关闭SQL限流的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:tableRestore 授予PITR库表级恢复的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:tag:deal 授予添加/删除资源标签的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:log:getErrorLogs 授予获取错误日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:log:getSlowLogs 授予获取慢日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:param:apply 授予应用参数组的权限。 permission_management - - gaussdbformysql:param:create 授予创建参数组的权限。 write - - gaussdbformysql:param:get 授予获取参数组详情的权限。 read - - gaussdbformysql:param:list 授予获取参数组列表的权限。 list - - gaussdbformysql:param:update 授予修改参数组的权限。 write - - gaussdbformysql:proxy:modifyConsistency 授予修改数据库代理会话一致性的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyTransactionSplit 授予开启/关闭数据库代理事务拆分的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:quota:list 授予查询配额的权限。 read - - gaussdbformysql:quota:modify 授予修改配额的权限。 write - - gaussdbformysql:tag:list 授予查询标签列表的权限。 list - - gaussdbformysql:task:delete 授予删除任务的权限。 write - - gaussdbformysql:task:list 授予获取任务列表的权限。 list - - gaussdbformysql:user:delete 授予删除数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:grantPrivilege 授予修改数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:list 授予查询数据库用户列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:user:modify 授予查询数据库用户备注的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:revokePrivilege 授予删除数据库用户权限的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:updatePassWord 授予修改数据库用户密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:switchConnectionPoolType 授予更改数据库代理连接池类型的权限。 permission_management instance * g:EnterpriseProjectId TaurusDB的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v3/{project_id}/datastores/{database_name} gaussdbformysql:instance:listEngine - GET /v3/{project_id}/flavors/{database_name} gaussdbformysql:instance:listSpec - POST /v3/{project_id}/instances gaussdbformysql:instance:create - GET /v3.1/{project_id}/instances gaussdbformysql:instance:list - POST /v3/{project_id}/instances/{instance_id}/restart gaussdbformysql:instance:restart - DELETE /v3/{project_id}/instances/{instance_id} gaussdbformysql:instance:delete - GET /v3.1/{project_id}/instances/{instance_id} gaussdbformysql:instance:get - GET /v3.1/{project_id}/instances/details gaussdbformysql:instance:get - POST /v3/{project_id}/instances/{instance_id}/nodes/enlarge gaussdbformysql:instance:addReadOnlyNodes - DELETE /v3/{project_id}/instances/{instance_id}/nodes/{node_id} gaussdbformysql:instance:deleteReadOnlyNodes - POST /v3/{project_id}/instances/{instance_id}/volume/extend gaussdbformysql:instance:modifyStorageSize - PUT /v3/{project_id}/instances/{instance_id}/backups/policy/update gaussdbformysql:backup:modifyPolicy - PUT /v3/{project_id}/instances/{instance_id}/name gaussdbformysql:instance:rename - POST /v3/{project_id}/instances/{instance_id}/password gaussdbformysql:instance:modifyPassword - POST /v3/{project_id}/instances/{instance_id}/action gaussdbformysql:instance:modifySpec - GET /v3/{project_id}/dedicated-resources gaussdbformysql:instance:listDcc - GET /v3/{project_id}/dedicated-resource/{dedicated_resource_id} gaussdbformysql:instance:getDcc - POST /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:create - DELETE /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:delete - GET /v3/{project_id}/instances/{instance_id}/proxies gaussdbformysql:proxy:list - GET /v3/{project_id}/instances/{instance_id}/proxy/flavors gaussdbformysql:proxy:listSpec - POST /v3/{project_id}/instances/{instance_id}/proxy/enlarge gaussdbformysql:proxy:addNodes - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/flavor gaussdbformysql:proxy:modifySpec - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/weight gaussdbformysql:proxy:modifyWeight - POST /v3/{project_id}/instances/{instance_id}/proxy/transaction-split gaussdbformysql:proxy:modifyTransactionSplit - POST /v3.1/{project_id}/instances/{instance_id}/error-logs gaussdbformysql:log:getErrorLogs - POST /v3.1/{project_id}/instances/{instance_id}/slow-logs gaussdbformysql:log:getSlowLogs - GET /v3/{project_id}/project-quotas gaussdbformysql:quota:list - GET /v3/{project_id}/quotas gaussdbformysql:quota:list - POST /v3/{project_id}/quotas gaussdbformysql:quota:modify - PUT /v3/{project_id}/quotas gaussdbformysql:quota:modify - POST /v3/{project_id}/backups/create gaussdbformysql:backup:create - GET /v3/{project_id}/backups gaussdbformysql:backup:list - GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdbformysql:backup:listPolicy - GET /v3/{project_id}/configurations gaussdbformysql:param:list - POST /v3/{project_id}/configurations gaussdbformysql:param:create - DELETE /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:delete - GET /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:get - PUT /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:update - PUT /v3/{project_id}/configurations/{configuration_id}/apply gaussdbformysql:param:apply - GET /v3/{project_id}/instances/{instance_id}/tags gaussdbformysql:tag:list - GET /v3/{project_id}/tags gaussdbformysql:tag:list - POST /v3/{project_id}/instances/{instance_id}/tags/action gaussdbformysql:tag:deal - PUT /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:modifySecondLevelMonitorPolicy - GET /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:getSecondLevelMonitoringConfig - POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/restart gaussdbformysql:instance:restart - POST /v3/{project_id}/instance/{instance_id}/audit-log/switch gaussdbformysql:auditlog:operate - GET /v3/{project_id}/instance/{instance_id}/audit-log/switch-status gaussdbformysql:auditlog:list - GET /v3/{project_id}/jobs gaussdbformysql:task:list - POST /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:create - GET /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:list - DELETE /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:delete - PUT /v3/{project_id}/instances/{instance_id}/db-users/comment gaussdbformysql:user:modify - PUT /v3/{project_id}/instances/{instance_id}/db-users/password gaussdbformysql:user:updatePassWord - POST /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:grantPrivilege - DELETE /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:revokePrivilege - GET /v3/{project_id}/instances/{instance_id}/databases/charsets gaussdbformysql:database:list - POST /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:create - GET /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:list - DELETE /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:delete - PUT /v3/{project_id}/instances/{instance_id}/databases/comment gaussdbformysql:database:modify - POST /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:setSqlFilterStatus - GET /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:getSqlFilterStatus - PUT /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:setSqlFilterRules - GET /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:getSqlFilterRule - DELETE /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:deleteSqlFilterRules - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/session-consistence gaussdbformysql:proxy:modifyConsistency - GET /v3/{project_id}/immediate-jobs gaussdbformysql:task:list - GET /v3/{project_id}/scheduled-jobs gaussdbformysql:task:list - DELETE /v3/{project_id}/scheduled-jobs gaussdbformysql:task:delete - DELETE /v3/{project_id}/jobs/{job_id} gaussdbformysql:task:delete - POST /v3/{project_id}/instances/{instance_id}/db-upgrade gaussdbformysql:instance:upgrade - PUT /v3/{project_id}/instances/{instance_id}/ssl-option gaussdbformysql:instance:modifySSL - PUT /v3/{project_id}/instances/{instance_id}/public-ips/bind gaussdbformysql:instance:bindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/public-ips/unbind gaussdbformysql:instance:unbindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/switchover gaussdbformysql:instance:switchover - PUT /v3/{project_id}/instances/{instance_id}/ops-window gaussdbformysql:instance:modifyMaintenanceWindow - PUT /v3/{project_id}/instances/{instance_id}/security-group gaussdbformysql:instance:modifySecurityGroup - PUT /v3/{project_id}/instances/{instance_id}/internal-ip gaussdbformysql:instance:modifyVip - PUT /v3/{project_id}/instances/{instance_id}/port gaussdbformysql:instance:modifyPort - PUT /v3/{project_id}/instances/{instance_id}/alias gaussdbformysql:instance:rename - DELETE /v3/{project_id}/backups/{backup_id} gaussdbformysql:backup:delete - POST /v3.1/{project_id}/instances/{instance_id}/restore/tables gaussdbformysql:instance:tableRestore - POST /v3/{project_id}/instances/restore gaussdbformysql:instance:restoreInPlace - GET /v3/{project_id}/instances/{instance_id}/restore-time gaussdbformysql:backup:getRestoreTime - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/connection-pool-type gaussdbformysql:proxy:switchConnectionPoolType -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cbh:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CBH定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CBH支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cbh:VpcId string 单值 根据 堡垒机 实例通信的VPCID开启过滤访问。 cbh:SubnetId string 单值 根据堡垒机实例通信的子网ID开启过滤访问。 cbh:AllowBindPublicIp boolean 单值 根据堡垒机实例是否可以绑定公网IP开启权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如as:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 AS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 AS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 as:ScalingConfigId String 单值 指定特定伸缩配置创建虚拟机。 as:VpcId String 单值 限制虚拟机使用的VPC ID。 as:VpcSubnetId String 多值 限制虚拟机使用的子网 ID。 as:ElbPoolId String 多值 限制虚拟机加入的ELB后端服务器组ID。 as:MaxInstanceSize Integer 单值 限制伸缩组的最大实例数。 as:MinInstanceSize Integer 单值 限制伸缩组的最小实例数。 as:EcsInstanceId String 单值 限制指定已有实例创建伸缩配置。 as:EcsInstanceType String 单值 限制创建虚拟机的类型：竞价or按需。 as:EcsFlavorId String 多值 限制创建虚拟机使用的规格Id。 as:ImageId String 单值 限制创建虚拟机使用的镜像Id。 as:ImsDiskImageId String 多值 限制创建虚拟机使用的磁盘镜像Id。 as:CbrDiskSnapshotId String 多值 限制创建虚拟机使用的磁盘云备份ID。 as:EcsServerGroupId String 单值 限制创建虚拟机使用的云服务器组ID。 as:EvsEncrypted Boolean 单值 限制是否支持磁盘加密。 as:KmsKeyId String 多值 限制磁盘加密使用的密钥ID。 as:EvsVolumeType String 多值 限制创建虚拟机使用的磁盘类型。 as:KpsSSHKeyPairName String 单值 限制创建虚拟机使用的keypair名称。 as:AssociatePublicIp Boolean 单值 限制虚拟机使用eip。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如gaussdb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见运算符。 GaussDB 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表13 GaussDB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 gaussdb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。 gaussdb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。 gaussdb:DownloadCategory string 单值 按照请求参数中传递的下载策略类别名称筛选访问权限。 gaussdb:AvailabilityZone string 多值 按照请求参数中传递的可用区筛选访问权限。 gaussdb:VpcId string 单值 按照请求参数中传递的虚拟私有云主键筛选访问权限。 gaussdb:Subnet string 单值 按照请求参数中传递的子网筛选访问权限。 gaussdb:KmsId string 单值 按照请求参数中传递的磁盘加密ID筛选访问权限。 gaussdb:FlavorType string 单值 按照请求参数中传递的性能规格类型筛选访问权限。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于GaussDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中GaussDB支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于GaussDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB的相关操作。 表1 GaussDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdb::updateDownloadPolicy 授予编辑下载策略的权限。 write - gaussdb:DownloadCategory gaussdb::getDownloadPolicy 授予查询下载策略的权限。 read - - gaussdb:backup:createBackup 授予创建数据库实例手动备份的权限。 write instance - gaussdb:backup:deleteBackup 授予删除备份的权限。 write instance - gaussdb:backup:listAll 授予查询备份列表的权限。 list instance - gaussdb:instance:updateBackupPolicy 授予设置备份策略的权限。 write instance gaussdb:BackupEnabled gaussdb:param:applyParam 授予应用参数模板的权限。 write instance - gaussdb:tag:create 授予添加资源标签的权限。 tagging instance - gaussdb:instance:bindEIP 授予绑定弹性公网IP的权限。 write instance - gaussdb:instance:check 授予校验实例相关信息的权限。 read instance - gaussdb:instance:createInstance 授予创建数据库实例的权限。 write instance gaussdb:BackupEnabled gaussdb:Encrypted gaussdb:AvailabilityZone gaussdb:VpcId gaussdb:Subnet gaussdb:KmsId gaussdb:FlavorType gaussdb:instance:createDatabase 授予创建数据库的权限。 write instance - gaussdb:instance:createDatabaseSchema 授予创建数据库Schema的权限。 write instance - gaussdb:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - gaussdb:instance:deleteInstance 授予删除数据库实例的权限。 write instance - gaussdb:instance:get 授予查询实例详情的权限。 read instance - gaussdb:instance:getBackupPolicy 授予查询自动备份策略的权限。 read instance - gaussdb:instance:getBalanceStatus 授予查询实例主备平衡状态的权限。 read instance - gaussdb:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - gaussdb:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read instance - gaussdb:instance:downloadSslCert 授予下载实例SSL证书的权限。 read instance - gaussdb:instance:grantDatabasePrivilege 授予授权数据库账号的权限。 write instance - gaussdb:instance:listAll 授予查询数据库实例列表的权限。 list instance - gaussdb:instance:listPublicIps 授予查询实例已绑定EIP列表的权限。 list instance - gaussdb:instance:listComponents 授予查询实例组件列表的权限。 list instance - gaussdb:instance:listDatabases 授予查询数据库列表的权限。 list instance - gaussdb:instance:listDatabaseUsers 授予查询数据库用户列表的权限。 list instance - gaussdb:tag:listAll 授予查询资源标签列表的权限。 list instance - gaussdb:quota:listAll 授予查询配额列表的权限。 list instance - gaussdb:instance:listRecoverableTimes 授予查询备份可恢复时间段的权限。 list instance - gaussdb:instance:listSchemas 授予查询数据库Schema列表的权限。 list instance - gaussdb:instance:renameInstance 授予重置实例名称的权限。 write instance - gaussdb:instance:resetPassword 授予重置数据库密码的权限。 write instance - gaussdb:instance:resizeFlavor 授予变更实例规格的权限。 write instance - gaussdb:instance:restartInstance 授予重启数据库实例的权限。 write instance - gaussdb:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write instance - gaussdb:instance:switchShard 授予分片节点主备切换的权限。 write instance - gaussdb:instance:extend 授予扩容相关操作的权限。 write instance - gaussdb:param:update 授予修改参数组的权限。 write instance - gaussdb:param:check 授予校验参数组的权限。 read instance - gaussdb:param:copy 授予复制参数模板的权限。 write instance - gaussdb:param:createParam 授予创建参数组的权限。 write instance - gaussdb:param:deleteParam 授予删除参数组的权限。 write instance - gaussdb:param:get 授予查询参数配置详情的权限。 read instance - gaussdb:param:compare 授予比较两个参数模板之间差异的权限。 read instance - gaussdb:param:listAll 授予查询参数组列表的权限。 list instance - gaussdb:param:reset 授予重置参数模板的权限。 write instance - gaussdb:quota:update 授予修改配额的权限。 write instance - gaussdb:task:listAll 授予查询任务列表的权限。 list instance - gaussdb:task:delete 授予删除任务记录的权限。 write instance - gaussdb:task:get 授予查询任务详情的权限。 read instance - GaussDB的API通常对应着一个或多个授权项。如下表展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 实例管理 权限 API 对应的授权项 依赖的授权项 创建数据库实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action gaussdb:instance:extend - 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} gaussdb:instance:delete - 查询数据库实例列表 GET /v3/{project_id}/instances gaussdb:instance:listAll - 重置数据库密码 POST /v3/{project_id}/instances/{instance_id}/password gaussdb:instance:resetPassword - 修改实例名称 PUT /v3/{project_id}/instances/{instance_id}/name gaussdb:instance:rename - 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/restart gaussdb:instance:restart - 分片节点主备切换 POST /v3/{project_id}/instances/{instance_id}/switch-shard gaussdb:instance:switchShard - 查询实例的组件列表 GET /v3/{project_id}/instances/{instance_id}/components gaussdb:instance:listComponents - 规格变更 PUT /v3/{project_id}/instance/{instance_id}/flavor gaussdb:instance:resizeFlavor - 查询实例主备平衡状态 GET /v3/{project_id}/instances/{instance_id}/balance gaussdb:instance:getBalanceStatus - 查询解决方案模板配置 GET /v3/{project_id}/deployment-form gaussdb:instance:listAll - 查询已绑定的EIP列表 GET /v3/{project_id}/instances/{instance_id}/public-ips?offset={offset}&limit={limit} gaussdb:instance:listPublicIps - 弱密码校验 POST /v3/{project_id}/weak-password-verification gaussdb:instance:check - 绑定/解绑弹性公网IP POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/public-ip gaussdb:instance:bindPublicIp - 查询实例SSL证书下载地址 GET /v3/{project_id}/instances/{instance_id}/ssl-cert/download-link gaussdb:instance:downloadSslCert - 查询租户的实例配额 GET /v3/{project_id}/project-quotas?type={type} gaussdb:quota:listAll - 设置下载策略 GET /v3/{project_id}/download/policy gaussdb::updateDownloadPolicy - 查询下载策略 POST /v3/{project_id}/update/download/policy gaussdb::getDownloadPolicy - 表3 参数配置 权限 API 对应的授权项 依赖的授权项 获取参数模板列表 GET /v3/{project_id}/configurations?offset={offset}&limit={limit} gaussdb:param:listAll - 获取指定实例的参数 GET /v3/{project_id}/instances/{instance_id}/configurations gaussdb:instance:get - 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations gaussdb:param:update - 创建参数模板 POST /v3/{project_id}/configurations gaussdb:param:createParam - 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} gaussdb:param:delete - 查询参数模板详情 GET /v3/{project_id}/configurations/{config_id} gaussdb:param:get - 复制参数模板 POST /v3/{project_id}/configurations/{config_id}/copy gaussdb:param:copy - 重置参数组 POST /v3/{project_id}/configurations/{config_id}/reset gaussdb:param:reset - 比较两个参数组模板之间的差异 POST /v3/{project_id}/configurations/comparison gaussdb:param:compare - 查询可应用实例列表 GET /v3/{project_id}/configurations/{config_id}/applicable-instances gaussdb:instance:listAll - 校验参数组名称是否存在 GET /v3/{project_id}/configurations/name-validation?name={name} gaussdb:param:check - 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply gaussdb:param:apply - 查询参数模板的应用记录 GET /v3/{project_id}/configurations/{config_id}/applied-histories gaussdb:param:listAll - 查询参数模板的修改历史 GET /v3/{project_id}/configurations/{config_id}/histories gaussdb:param:listAll - 表4 备份管理 权限 API 对应的授权项 依赖的授权项 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:updateBackupPolicy - 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:getBackupPolicy - 查询备份列表 GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time} gaussdb:backup:listAll - 创建手动备份 POST /v3/{project_id}/backups gaussdb:backup:create - 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} gaussdb:backup:delete - 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time?date={date} gaussdb:instance:listRecoverableTimes - 恢复到新实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 查询可用于备份恢复的实例列表 GET /v3/{project_id}/restorable-instances gaussdb:instance:listAll - 根据时间点或者备份文件查询原实例信息 GET /v3/{project_id}/instance-snapshot?instance_id={instance_id}&backup_id={backup_id}&restore_time={restore_time} gaussdb:instance:get - 表5 引擎版本和规格 权限 API 对应的授权项 依赖的授权项 查询数据库引擎的版本 GET /v3/{project_id}/datastore/versions gaussdb:instance:listAll - 查询数据库规格 GET /v3/{project_id}/flavors?limit={limit}&offset={offset}&ha_mode={ha_mode}&version={version}&spec_code={spec_code} gaussdb:instance:listAll - 查询引擎列表 GET /v3/{project_id}/datastores gaussdb:instance:listAll - 查询实例可变更规格 GET /v3/{project_id}/instances/{instance_id}/available-flavors gaussdb:instance:listAll - 表6 管理数据库和用户 权限 API 对应的授权项 依赖的授权项 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database gaussdb:instance:createDatabase - 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-user gaussdb:instance:createDatabaseUser - 创建数据库SCHEMA POST /v3/{project_id}/instances/{instance_id}/schema gaussdb:instance:createDatabaseSchema - 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db-privilege gaussdb:instance:grantDatabasePrivilege - 重置数据库账号密码 PUT /v3/{project_id}/instances/{instance_id}/db-user/password gaussdb:instance:resetPassword - 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/databases gaussdb:instance:listDatabases - 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users gaussdb:instance:listDatabaseUsers - 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schemas gaussdb:instance:listSchemas - 表7 标签管理 权限 API 对应的授权项 依赖的授权项 查询实例标签 GET /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:listAll - 查询项目标签 GET /v3/{project_id}/tags gaussdb:tag:listAll - 查询预定义标签 GET /v3/{project_id}/predefined-tags gaussdb:tag:listAll - 添加实例标签 POST /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:create - 表8 磁盘管理 权限 API 对应的授权项 依赖的授权项 查询实例存储空间使用信息 GET /v3/{project_id}/instances/{instance_id}/volume-usage gaussdb:instance:getDiskUsage - 查询数据库磁盘类型 GET /v3/{project_id}/storage-type?version={version}&ha_mode={ha_mode} gaussdb:instance:listAll - 表9 配额管理 权限 API 对应的授权项 依赖的授权项 修改企业项目配额 PUT /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:update - 查询企业项目配额组 GET /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:listAll - 表10 任务管理 权限 API 对应的授权项 依赖的授权项 获取任务信息 GET /v3/{project_id}/jobs?id={id} gaussdb:task:get - 查询任务列表 GET /v3/{project_id}/tasks gaussdb:task:listAll - 删除任务记录 DELETE /v3/{project_id}/jobs/{job_id} gaussdb:task:delete - 表11 回收站 权限 API 对应的授权项 依赖的授权项 设置回收站策略 PUT /v3/{project_id}/recycle-policy gaussdb:instance:setRecyclePolicy - 查看回收站策略 GET /v3/{project_id}/recycle-policy gaussdb:instance:getRecyclePolicy - 查询回收站所有引擎实例列表 GET /v3/{project_id}/recycle-instances gaussdb:instance:listAll -

操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于DSC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于DSC定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下DSC的相关操作。 表1 DSC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 dsc:asset:delete 授予权限以删除数据资产。 write asset * - dsc:asset:list 授予权限以查询数据资产列表。 list asset * - dsc:asset:create 授予权限以添加数据资产。 write asset * - dsc:asset:update 授予权限以更新数据资产信息。 write asset * - dsc:maskTask:operate 授予权限以操作脱敏任务（启动、停止、开启、关闭等）。 write maskTask * - dsc:maskTask:listSubTasks 授予权限以查询脱敏任务的子任务列表。 list maskTask * - dsc:common:operate 授予权限以操作DSC通用资源。 write - - dsc:common:list 授予权限以查询DSC通用资源列表。 list - - dsc:scanTask:create 授予权限以创建敏感数据扫描任务。 write scanTask * - dsc:scanTask:list 授予权限以查询敏感数据扫描任务列表或子任务列表。 list scanTask * - dsc:scanTask:getResults 授予权限以查询单个扫描任务的扫描结果。 read scanTask * - dsc:scanRuleGroup:list 授予权限以查询扫描规则组列表。 list - - dsc:scanRuleGroup:create 授予权限以创建扫描规则组。 write - - dsc:scanRuleGroup:delete 授予权限以删除扫描规则组。 write - - dsc:scanRule:list 授予权限以查询扫描规则列表。 list scanRule * - dsc:scanRule:create 授予权限以创建扫描规则。 write scanRule * - dsc:scanRule:update 授予权限以更新扫描规则。 write scanRule * - dsc:scanRule:delete 授予权限以删除扫描规则。 write scanRule * - dsc:watermark:embed 授予权限以对文档、图片或者数据库嵌入水印。 write - - dsc:watermark:extract 授予权限以从文档、图片或者数据库中提取水印。 write - - DSC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 DELETE/v1/{project_id}/sdg/asset/obs/bucket/{bucket_id} dsc:asset:delete obs:bucket:GetBucketLogging obs:bucket:PutBucketLogging GET/v1/{project_id}/sdg/asset/obs/buckets dsc:asset:list obs:bucket:listAllMyBuckets POST/v1/{project_id}/sdg/asset/obs/buckets dsc:asset:create obs:bucket:GetBucketStorage obs:bucket:listAllMyBuckets PUT/v1/{project_id}/sdg/asset/{asset_id}/name dsc:asset:update - POST/v1/{project_id}/period/order dsc:common:operate bss:renewal:update bss:order:update GET/v1/{project_id}/period/product/specification dsc:common:list - POST/v1/{project_id}/sdg/server/mask/dbs/templates/{template_id}/operation dsc:maskTask:operate - GET/v1/{project_id}/sdg/server/mask/dbs/templates/{template_id}/tasks dsc:maskTask:listSubTasks - PUT/v1/{project_id}/sdg/smn/topic dsc:common:operate - GET/v1/{project_id}/sdg/smn/topics dsc:common:list smn:topic:list GET/v1/{project_id}/openapi/called-records dsc:common:list - POST/v1/{project_id}/sdg/scan/job dsc:scanTask:create - GET/v1/{project_id}/sdg/scan/jobs dsc:scanTask:list - GET/v1/{project_id}/sdg/server/scan/groups dsc:scanRuleGroup:list - POST/v1/{project_id}/sdg/server/scan/groups dsc:scanRuleGroup:create - DELETE/v1/{project_id}/sdg/server/scan/groups/{group_id} dsc:scanRuleGroup:delete - GET/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:list - POST/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:create - PUT/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:update - DELETE/v1/{project_id}/sdg/server/scan/rules/{rule_id} dsc:scanRule:delete - GET/v1/{project_id}/sdg/scan/job/{job_id}/results dsc:scanTask:getResults - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs/{db_id}/tables dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs/{table_id}/columns dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/obs/buckets dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/obs/{bucket_id}/files dsc:common:list - POST/v1/{project_id}/data/mask dsc:sensitiveData:mask - POST/v1/{project_id}/doc-address/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/doc-address/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image-address/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/image-address/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image-address/watermark/extract-image dsc:watermark:extract - POST/v1/{project_id}/image/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/image/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image/watermark/extract-image dsc:watermark:extract - POST/v1/{project_id}/sdg/database/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/sdg/database/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/sdg/doc/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/sdg/doc/watermark/extract dsc:watermark:extract - GET/v1/{project_id}/sdg/asset/{asset_type}/{asset_id}/detail dsc:common:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如dns:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DNS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DNS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dns:RecordSetNames string 多值 根据指定的记录集名称过滤访问。记录集名称所有字母必须为小写形式，不得带有结尾圆点。 dns:RecordSetTypes string 多值 根据指定的记录集类型过滤访问。取值范围：A、AAAA、MX、CNAME、TXT、NS、SRV、CAA。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeartsPipeline定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于CodeartsPipeline定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。 write - - codeartspipeline:pipelinetemplate:get 授予权限以查看流水线模板。 read - - codeartspipeline:pipelinetemplate:list 授予权限以查看流水线模板列表。 list - - codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get 授予权限以查看规则。 read - - codeartspipeline:rule:list 授予权限以查看规则列表。 list - - codeartspipeline:strategy:create 授予权限以创建策略。 write - - codeartspipeline:strategy:update 授予权限以更新策略。 write - - codeartspipeline:strategy:delete 授予权限以删除策略。 write - - codeartspipeline:strategy:get 授予权限以查看策略。 read - - codeartspipeline:strategy:list 授予权限以查看策略列表。 list - - codeartspipeline:extension:create 授予权限以创建插件。 write - - codeartspipeline:extension:update 授予权限以更新插件。 write - - codeartspipeline:extension:delete 授予权限以删除插件。 write - - codeartspipeline:extension:get 授予权限以查看插件。 read - - codeartspipeline:extension:list 授予权限以查看插件列表。 list - - CodeartsPipeline的API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v5/{tenant_id}/api/pipeline-templates codeartspipeline:pipelinetemplate:create - PUT /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:delete - GET /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:get - POST /v5/{tenant_id}/api/pipeline-templates/list codeartspipeline:pipelinetemplate:list - POST /v2/{domain_id}/rules/create codeartspipeline:rule:create - PUT /v2/{domain_id}/rules/{rule_id}/update codeartspipeline:rule:update - DELETE /v2/{domain_id}/rules/{rule_id}/delete codeartspipeline:rule:delete - GET /v2/{domain_id}/rules/{rule_id}/detail codeartspipeline:rule:get - GET /v2/{domain_id}/rules/query codeartspipeline:rule:list - POST /v2/{domain_id}/tenant/rule-sets/create codeartspipeline:strategy:create - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/update codeartspipeline:strategy:update - DELETE /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/delete codeartspipeline:strategy:delete - GET /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/detail codeartspipeline:strategy:get - GET /v2/{project_id}/rule-sets/{rule_set_id}/gray/detail codeartspipeline:strategy:get - GET /v2/{domain_id}/tenant/rule-sets/query codeartspipeline:strategy:list - GET /v2/{project_id}/rule-sets/query codeartspipeline:strategy:list - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/switch codeartspipeline:strategy:update - POST /v1/{domain_id}/agent-plugin/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/create-draft codeartspipeline:extension:create - POST /v1/{domain_id}/publisher/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/edit-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/update-info codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin-bind codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-plugin-icon codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-publisher-icon codeartspipeline:extension:update - DELETE /v1/{domain_id}/agent-plugin/delete-draft codeartspipeline:extension:delete - GET /v1/{domain_id}/publisher/query-all codeartspipeline:extension:list - GET /v1/{domain_id}/publisher/optional-publisher codeartspipeline:extension:list - POST /v1/{domain_id}/relation/stage-plugins codeartspipeline:extension:list - GET /v1/{domain_id}/relation/plugin/single codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/query-all codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/plugin-metrics codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-input codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-output codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/query codeartspipeline:extension:list - GET /v1/{domain_id}/agent-plugin/detail codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/all-version codeartspipeline:extension:list - DELETE /v1/{domain_id}/publisher/delete codeartspipeline:extension:delete - POST /v1/{domain_id}/publisher/detail codeartspipeline:extension:get - POST /v3/{domain_id}/extension/info/add codeartspipeline:extension:create - POST /v3/{domain_id}/extension/info/update codeartspipeline:extension:update - DELETE /v3/{domain_id}/extension/info/delete codeartspipeline:extension:delete - POST /v3/{domain_id}/extension/upload codeartspipeline:extension:update - GET /v3/{domain_id}/extension/detail codeartspipeline:extension:get - POST /v1/{domain_id}/relation/plugins codeartspipeline:extension:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cfw:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CFW定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CFW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cfw:LogGroupId string 单值 根据请求参数中指定的LTS日志组ID过滤访问。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cts:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CTS 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CTS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cts:TargetType string 单值 按照数据转储类型筛选访问权限。 cts:TargetAccountId string 单值 按照obs桶所属用户的DomainID（账号ID）筛选访问权限。 cts:TargetOrgId string 单值 按照obs桶所属组织筛选访问权限。 cts:TargetOrgPath string 单值 按照obs桶所属组织OU路径筛选访问权限。 cts:TargetType、cts:TargetOrgPath、cts:TargetOrgId和cts:TargetAccountId服务级条件键适用于CTS服务的OBS跨租户转储场景，必须按照xxx结合使用，不能单独使用。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeArts控制台定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于CodeArts控制台定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下CodeArts控制台的相关操作。 表1 CodeArts控制台支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 codearts:projectman:viewUsage 授予权限以在控制台查询项目管理服务资源用量。 read - - codearts:codehub:viewUsage 授予权限以在控制台查询 代码托管服务 资源用量。 read - - codearts:cloudbuild:viewUsage 授予权限以在控制台查询编译构建服务资源用量。 read - - codearts:codecheck:viewUsage 授予权限以在控制台查询代码检查服务资源用量。 read - - codearts:cloudtest:viewUsage 授予权限以在控制台查询云测-测试管理服务资源用量。 read - - codearts:apitest:viewUsage 授予权限以在控制台查询云测-接口测试服务资源用量。 read - - codearts:cloudrelease:viewUsage 授予权限以在控制台查询发布服务资源用量。 read - - codearts:cloudide:viewUsage 授予权限以在控制台查询CloudIDE服务资源用量。 read - - codearts:classroom:viewUsage 授予权限以在控制台查询Classroom服务资源用量。 read - - codearts:monthlyPackage:changeSpecification 授予权限以在控制台变更软件开发平台套餐规格。 write - - codearts:monthlyPackage:subscribe 授予权限以在控制台订购软件开发平台套餐。 write - - codearts:projectman:subscribeService 授予权限以在控制台开通按需项目管理服务。 write - - codearts:codehub:subscribeService 授予权限以在控制台开通按需代码托管服务。 write - - codearts:cloudbuild:subscribeService 授予权限以在控制台开通按需编译构建服务。 write - - codearts:codecheck:subscribeService 授予权限以在控制台开通按需代码检查服务。 write - - codearts:cloudtest:subscribeService 授予权限以在控制台开通按需云测-测试管理服务。 write - - codearts:apitest:subscribeService 授予权限以在控制台开通按需云测-接口测试服务。 write - - codearts:cloudrelease:subscribeService 授予权限以在控制台开通按需发布服务。 write - - codearts:package:subscribeService 授予权限以在控制台开通按需服务组合。 write - - codearts:cloudide:subscribeService 授予权限以在控制台开通按需CloudIDE服务。 write - - codearts:classroom:subscribeService 授予权限以在控制台开通按需Classroom服务。 write - - codearts:projectman:unsubscribeService 授予权限以在控制台取消开通按需项目管理服务。 write - - codearts:codehub:unsubscribeService 授予权限以在控制台取消开通按需代码托管服务。 write - - codearts:cloudbuild:unsubscribeService 授予权限以在控制台取消开通按需编译构建服务。 write - - codearts:codecheck:unsubscribeService 授予权限以在控制台取消开通按需代码检查服务。 write - - codearts:cloudtest:unsubscribeService 授予权限以在控制台取消开通按需云测-测试管理服务。 write - - codearts:apitest:unsubscribeService 授予权限以在控制台取消开通按需云测-接口测试服务。 write - - codearts:cloudrelease:unsubscribeService 授予权限以在控制台取消开通按需发布服务。 write - - codearts:package:unsubscribeService 授予权限以在控制台取消开通按需服务组合。 write - - codearts:cloudide:unsubscribeService 授予权限以在控制台取消开通按需CloudIDE服务。 write - - codearts:classroom:unsubscribeService 授予权限以在控制台取消开通按需Classroom服务。 write - - codearts:authorization:list 授予权限以在控制台查看租户授权列表。 list - - codearts:payPerUsePackage:listResourceDetail 授予权限以在控制台查看按需套餐包资源详情。 list - - codearts:monthlyPackage:listResourceDetail 授予权限以在控制台查看软件开发平台套餐资源详情。 list - - codearts:projectman:listResourceDetail 授予权限以在控制台查看项目管理资源列表详情。 list - - codearts:codehub:listResourceDetail 授予权限以在控制台查看仓库托管资源列表详情。 list - - codearts:cloudbuild:listResourceDetail 授予权限以在控制台查看构建资源列表详情。 list - - codearts:codecheck:listResourceDetail 授予权限以在控制台查看代码检查资源列表详情。 list - - codearts:cloudtest:listResourceDetail 授予权限以在控制台查看云测-测试管理资源列表详情。 list - - codearts:cloudrelease:listResourceDetail 授予权限以在控制台查看发布资源列表详情。 list - - codearts:cloudide:listResourceDetail 授予权限以在控制台查看CloudIDE资源列表详情。 list - - codearts:classroom:listResourceDetail 授予权限以在控制台查看Classroom资源列表详情。 list - - codearts:agileDevopsTrainingServices:listResourceDetail 授予权限以在控制台查看敏捷与DevOps培训服务资源列表详情。 list - - codearts:projectman:listSubscriptionHistory 授予权限以在控制台查看项目管理服务开通记录。 list - - codearts:codehub:listSubscriptionHistory 授予权限以在控制台查看代码托管服务开通记录。 list - - codearts:cloudbuild:listSubscriptionHistory 授予权限以在控制台查看编译构建服务开通记录。 list - - codearts:codecheck:listSubscriptionHistory 授予权限以在控制台查看代码检查服务开通记录。 list - - codearts:cloudtest:listSubscriptionHistory 授予权限以在控制台查看云测-测试管理服务开通记录。 list - - codearts:apitest:listSubscriptionHistory 授予权限以在控制台查看云测-接口测试服务开通记录。 list - - codearts:cloudrelease:listSubscriptionHistory 授予权限以在控制台查看发布服务开通记录。 list - - codearts:package:listSubscriptionHistory 授予权限以在控制台查看按需服务组合开通记录。 list - - codearts:cloudide:listSubscriptionHistory 授予权限以在控制台查看CloudIDE服务开通记录。 list - - codearts:classroom:listSubscriptionHistory 授予权限以在控制台查看Classroom服务开通记录。 list - - codearts:authorization:create 授予权限以在控制台新增企业账户授权。 permissions - - codearts:authorization:cancel 授予权限以在控制台取消企业账户授权。 permissions - - codearts:authorization:update 授予权限以在控制台同意或拒绝企业账户授权。 permissions - -

条件（Condition） 条件（Condition）是自定义SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如dli:）仅适用于对应服务的操作，详情请参见表5。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DLI 定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表5 DLI支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dli:VpcId string 单值 根据虚拟网络ID筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如config:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Config定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Config支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rms:AuthorizedAccountOrg... string 单值 根据指定的资源聚合授权账号的 Organizations Path 过滤访问。 rms:TrackerBucketName string 单值 根据指定的转储目标桶名称进行过滤访问。 rms:TrackerBucketPathPre... string 单值 根据指定的转储目标桶桶前缀进行过滤访问。 条件键示例 rms:AuthorizedAccountOrgPath 示例：禁止组织内账号给组织外的账号进行聚合授权。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:aggregationAuthorizations:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:AuthorizedAccountOrgPath": [ "organization_id/root_id/ou_id"【备注：此处需填写组织的路径ID】 ] } } } ] } rms:TrackerBucketName 示例：禁止资源记录器转储到非预期的OBS桶。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:trackerConfig:put" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:TrackerBucketName": [ "BucketName" ] } } } ] } rms:TrackerBucketPathPrefix 示例：禁止资源记录器转储到非预期的OBS路径下。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:trackerConfig:put" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:TrackerBucketPathPrefix": [ "BucketFolder" ] } } } ] }

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于TMS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于TMS定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下TMS的相关操作。 表1 TMS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 tms:predefineTags:list 授予权限以查询预定义标签列表。 list - - tms:predefineTags:create 授予权限以创建预定义标签。 write - - tms:predefineTags:update 授予权限以更新预定义标签。 write - - tms:predefineTags:delete 授予权限以删除预定义标签。 write - - tms:resourceTags:list 授予权限以查询资源标签列表。 list - - tms:resourceTags:create 授予权限以创建资源标签。 write - - tms:resourceTags:delete 授予权限以删除资源标签。 write - - tms:resources:list 授予权限以查询资源列表。 list - - tms:tagKeys:list 授予权限以查询标签key列表。 list - - tms:tagValues:list 授予权限以查询标签values列表。 list - - TMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1.0/predefine_tags tms:predefineTags:list - POST /v1.0/predefine_tags/action tms:predefineTags:create - PUT /v1.0/predefine_tags tms:predefineTags:update - POST /v1.0/predefine_tags/action tms:predefineTags:delete - GET /v2.0/resources/{resource_id}/tags tms:resourceTags:list - POST /v1.0/resource-tags/batch-create tms:resourceTags:create - POST /v1.0/resource-tags/batch-delete tms:resourceTags:delete - POST /v1.0/resource-instances/filter tms:resources:list - GET /v1.0/tag-keys tms:tagKeys:list - GET /v1.0/tag-values tms:tagValues:list -