华为云用户手册

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如gaussdb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见运算符。 GaussDB 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表13 GaussDB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 gaussdb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。 gaussdb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。 gaussdb:DownloadCategory string 单值 按照请求参数中传递的下载策略类别名称筛选访问权限。 gaussdb:AvailabilityZone string 多值 按照请求参数中传递的可用区筛选访问权限。 gaussdb:VpcId string 单值 按照请求参数中传递的虚拟私有云主键筛选访问权限。 gaussdb:Subnet string 单值 按照请求参数中传递的子网筛选访问权限。 gaussdb:KmsId string 单值 按照请求参数中传递的磁盘加密ID筛选访问权限。 gaussdb:FlavorType string 单值 按照请求参数中传递的性能规格类型筛选访问权限。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于GaussDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中GaussDB支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于GaussDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB的相关操作。 表1 GaussDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdb::updateDownloadPolicy 授予编辑下载策略的权限。 write - gaussdb:DownloadCategory gaussdb::getDownloadPolicy 授予查询下载策略的权限。 read - - gaussdb:backup:createBackup 授予创建数据库实例手动备份的权限。 write instance - gaussdb:backup:deleteBackup 授予删除备份的权限。 write instance - gaussdb:backup:listAll 授予查询备份列表的权限。 list instance - gaussdb:instance:updateBackupPolicy 授予设置备份策略的权限。 write instance gaussdb:BackupEnabled gaussdb:param:applyParam 授予应用参数模板的权限。 write instance - gaussdb:tag:create 授予添加资源标签的权限。 tagging instance - gaussdb:instance:bindEIP 授予绑定弹性公网IP的权限。 write instance - gaussdb:instance:check 授予校验实例相关信息的权限。 read instance - gaussdb:instance:createInstance 授予创建数据库实例的权限。 write instance gaussdb:BackupEnabled gaussdb:Encrypted gaussdb:AvailabilityZone gaussdb:VpcId gaussdb:Subnet gaussdb:KmsId gaussdb:FlavorType gaussdb:instance:createDatabase 授予创建数据库的权限。 write instance - gaussdb:instance:createDatabaseSchema 授予创建数据库Schema的权限。 write instance - gaussdb:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - gaussdb:instance:deleteInstance 授予删除数据库实例的权限。 write instance - gaussdb:instance:get 授予查询实例详情的权限。 read instance - gaussdb:instance:getBackupPolicy 授予查询自动备份策略的权限。 read instance - gaussdb:instance:getBalanceStatus 授予查询实例主备平衡状态的权限。 read instance - gaussdb:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - gaussdb:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read instance - gaussdb:instance:downloadSslCert 授予下载实例SSL证书的权限。 read instance - gaussdb:instance:grantDatabasePrivilege 授予授权数据库账号的权限。 write instance - gaussdb:instance:listAll 授予查询数据库实例列表的权限。 list instance - gaussdb:instance:listPublicIps 授予查询实例已绑定EIP列表的权限。 list instance - gaussdb:instance:listComponents 授予查询实例组件列表的权限。 list instance - gaussdb:instance:listDatabases 授予查询数据库列表的权限。 list instance - gaussdb:instance:listDatabaseUsers 授予查询数据库用户列表的权限。 list instance - gaussdb:tag:listAll 授予查询资源标签列表的权限。 list instance - gaussdb:quota:listAll 授予查询配额列表的权限。 list instance - gaussdb:instance:listRecoverableTimes 授予查询备份可恢复时间段的权限。 list instance - gaussdb:instance:listSchemas 授予查询数据库Schema列表的权限。 list instance - gaussdb:instance:renameInstance 授予重置实例名称的权限。 write instance - gaussdb:instance:resetPassword 授予重置数据库密码的权限。 write instance - gaussdb:instance:resizeFlavor 授予变更实例规格的权限。 write instance - gaussdb:instance:restartInstance 授予重启数据库实例的权限。 write instance - gaussdb:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write instance - gaussdb:instance:switchShard 授予分片节点主备切换的权限。 write instance - gaussdb:instance:extend 授予扩容相关操作的权限。 write instance - gaussdb:param:update 授予修改参数组的权限。 write instance - gaussdb:param:check 授予校验参数组的权限。 read instance - gaussdb:param:copy 授予复制参数模板的权限。 write instance - gaussdb:param:createParam 授予创建参数组的权限。 write instance - gaussdb:param:deleteParam 授予删除参数组的权限。 write instance - gaussdb:param:get 授予查询参数配置详情的权限。 read instance - gaussdb:param:compare 授予比较两个参数模板之间差异的权限。 read instance - gaussdb:param:listAll 授予查询参数组列表的权限。 list instance - gaussdb:param:reset 授予重置参数模板的权限。 write instance - gaussdb:quota:update 授予修改配额的权限。 write instance - gaussdb:task:listAll 授予查询任务列表的权限。 list instance - gaussdb:task:delete 授予删除任务记录的权限。 write instance - gaussdb:task:get 授予查询任务详情的权限。 read instance - GaussDB的API通常对应着一个或多个授权项。如下表展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 实例管理 权限 API 对应的授权项 依赖的授权项 创建数据库实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action gaussdb:instance:extend - 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} gaussdb:instance:delete - 查询数据库实例列表 GET /v3/{project_id}/instances gaussdb:instance:listAll - 重置数据库密码 POST /v3/{project_id}/instances/{instance_id}/password gaussdb:instance:resetPassword - 修改实例名称 PUT /v3/{project_id}/instances/{instance_id}/name gaussdb:instance:rename - 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/restart gaussdb:instance:restart - 分片节点主备切换 POST /v3/{project_id}/instances/{instance_id}/switch-shard gaussdb:instance:switchShard - 查询实例的组件列表 GET /v3/{project_id}/instances/{instance_id}/components gaussdb:instance:listComponents - 规格变更 PUT /v3/{project_id}/instance/{instance_id}/flavor gaussdb:instance:resizeFlavor - 查询实例主备平衡状态 GET /v3/{project_id}/instances/{instance_id}/balance gaussdb:instance:getBalanceStatus - 查询解决方案模板配置 GET /v3/{project_id}/deployment-form gaussdb:instance:listAll - 查询已绑定的EIP列表 GET /v3/{project_id}/instances/{instance_id}/public-ips?offset={offset}&limit={limit} gaussdb:instance:listPublicIps - 弱密码校验 POST /v3/{project_id}/weak-password-verification gaussdb:instance:check - 绑定/解绑弹性公网IP POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/public-ip gaussdb:instance:bindPublicIp - 查询实例SSL证书下载地址 GET /v3/{project_id}/instances/{instance_id}/ssl-cert/download-link gaussdb:instance:downloadSslCert - 查询租户的实例配额 GET /v3/{project_id}/project-quotas?type={type} gaussdb:quota:listAll - 设置下载策略 GET /v3/{project_id}/download/policy gaussdb::updateDownloadPolicy - 查询下载策略 POST /v3/{project_id}/update/download/policy gaussdb::getDownloadPolicy - 表3 参数配置 权限 API 对应的授权项 依赖的授权项 获取参数模板列表 GET /v3/{project_id}/configurations?offset={offset}&limit={limit} gaussdb:param:listAll - 获取指定实例的参数 GET /v3/{project_id}/instances/{instance_id}/configurations gaussdb:instance:get - 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations gaussdb:param:update - 创建参数模板 POST /v3/{project_id}/configurations gaussdb:param:createParam - 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} gaussdb:param:delete - 查询参数模板详情 GET /v3/{project_id}/configurations/{config_id} gaussdb:param:get - 复制参数模板 POST /v3/{project_id}/configurations/{config_id}/copy gaussdb:param:copy - 重置参数组 POST /v3/{project_id}/configurations/{config_id}/reset gaussdb:param:reset - 比较两个参数组模板之间的差异 POST /v3/{project_id}/configurations/comparison gaussdb:param:compare - 查询可应用实例列表 GET /v3/{project_id}/configurations/{config_id}/applicable-instances gaussdb:instance:listAll - 校验参数组名称是否存在 GET /v3/{project_id}/configurations/name-validation?name={name} gaussdb:param:check - 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply gaussdb:param:apply - 查询参数模板的应用记录 GET /v3/{project_id}/configurations/{config_id}/applied-histories gaussdb:param:listAll - 查询参数模板的修改历史 GET /v3/{project_id}/configurations/{config_id}/histories gaussdb:param:listAll - 表4 备份管理 权限 API 对应的授权项 依赖的授权项 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:updateBackupPolicy - 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:getBackupPolicy - 查询备份列表 GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time} gaussdb:backup:listAll - 创建手动备份 POST /v3/{project_id}/backups gaussdb:backup:create - 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} gaussdb:backup:delete - 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time?date={date} gaussdb:instance:listRecoverableTimes - 恢复到新实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 查询可用于备份恢复的实例列表 GET /v3/{project_id}/restorable-instances gaussdb:instance:listAll - 根据时间点或者备份文件查询原实例信息 GET /v3/{project_id}/instance-snapshot?instance_id={instance_id}&backup_id={backup_id}&restore_time={restore_time} gaussdb:instance:get - 表5 引擎版本和规格 权限 API 对应的授权项 依赖的授权项 查询数据库引擎的版本 GET /v3/{project_id}/datastore/versions gaussdb:instance:listAll - 查询数据库规格 GET /v3/{project_id}/flavors?limit={limit}&offset={offset}&ha_mode={ha_mode}&version={version}&spec_code={spec_code} gaussdb:instance:listAll - 查询引擎列表 GET /v3/{project_id}/datastores gaussdb:instance:listAll - 查询实例可变更规格 GET /v3/{project_id}/instances/{instance_id}/available-flavors gaussdb:instance:listAll - 表6 管理数据库和用户 权限 API 对应的授权项 依赖的授权项 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database gaussdb:instance:createDatabase - 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-user gaussdb:instance:createDatabaseUser - 创建数据库SCHEMA POST /v3/{project_id}/instances/{instance_id}/schema gaussdb:instance:createDatabaseSchema - 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db-privilege gaussdb:instance:grantDatabasePrivilege - 重置数据库账号密码 PUT /v3/{project_id}/instances/{instance_id}/db-user/password gaussdb:instance:resetPassword - 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/databases gaussdb:instance:listDatabases - 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users gaussdb:instance:listDatabaseUsers - 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schemas gaussdb:instance:listSchemas - 表7 标签管理 权限 API 对应的授权项 依赖的授权项 查询实例标签 GET /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:listAll - 查询项目标签 GET /v3/{project_id}/tags gaussdb:tag:listAll - 查询预定义标签 GET /v3/{project_id}/predefined-tags gaussdb:tag:listAll - 添加实例标签 POST /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:create - 表8 磁盘管理 权限 API 对应的授权项 依赖的授权项 查询实例存储空间使用信息 GET /v3/{project_id}/instances/{instance_id}/volume-usage gaussdb:instance:getDiskUsage - 查询数据库磁盘类型 GET /v3/{project_id}/storage-type?version={version}&ha_mode={ha_mode} gaussdb:instance:listAll - 表9 配额管理 权限 API 对应的授权项 依赖的授权项 修改企业项目配额 PUT /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:update - 查询企业项目配额组 GET /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:listAll - 表10 任务管理 权限 API 对应的授权项 依赖的授权项 获取任务信息 GET /v3/{project_id}/jobs?id={id} gaussdb:task:get - 查询任务列表 GET /v3/{project_id}/tasks gaussdb:task:listAll - 删除任务记录 DELETE /v3/{project_id}/jobs/{job_id} gaussdb:task:delete - 表11 回收站 权限 API 对应的授权项 依赖的授权项 设置回收站策略 PUT /v3/{project_id}/recycle-policy gaussdb:instance:setRecyclePolicy - 查看回收站策略 GET /v3/{project_id}/recycle-policy gaussdb:instance:getRecyclePolicy - 查询回收站所有引擎实例列表 GET /v3/{project_id}/recycle-instances gaussdb:instance:listAll -

操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于DSC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于DSC定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下DSC的相关操作。 表1 DSC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 dsc:asset:delete 授予权限以删除数据资产。 write asset * - dsc:asset:list 授予权限以查询数据资产列表。 list asset * - dsc:asset:create 授予权限以添加数据资产。 write asset * - dsc:asset:update 授予权限以更新数据资产信息。 write asset * - dsc:maskTask:operate 授予权限以操作脱敏任务（启动、停止、开启、关闭等）。 write maskTask * - dsc:maskTask:listSubTasks 授予权限以查询脱敏任务的子任务列表。 list maskTask * - dsc:common:operate 授予权限以操作DSC通用资源。 write - - dsc:common:list 授予权限以查询DSC通用资源列表。 list - - dsc:scanTask:create 授予权限以创建敏感数据扫描任务。 write scanTask * - dsc:scanTask:list 授予权限以查询敏感数据扫描任务列表或子任务列表。 list scanTask * - dsc:scanTask:getResults 授予权限以查询单个扫描任务的扫描结果。 read scanTask * - dsc:scanRuleGroup:list 授予权限以查询扫描规则组列表。 list - - dsc:scanRuleGroup:create 授予权限以创建扫描规则组。 write - - dsc:scanRuleGroup:delete 授予权限以删除扫描规则组。 write - - dsc:scanRule:list 授予权限以查询扫描规则列表。 list scanRule * - dsc:scanRule:create 授予权限以创建扫描规则。 write scanRule * - dsc:scanRule:update 授予权限以更新扫描规则。 write scanRule * - dsc:scanRule:delete 授予权限以删除扫描规则。 write scanRule * - dsc:watermark:embed 授予权限以对文档、图片或者数据库嵌入水印。 write - - dsc:watermark:extract 授予权限以从文档、图片或者数据库中提取水印。 write - - DSC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 DELETE/v1/{project_id}/sdg/asset/obs/bucket/{bucket_id} dsc:asset:delete obs:bucket:GetBucketLogging obs:bucket:PutBucketLogging GET/v1/{project_id}/sdg/asset/obs/buckets dsc:asset:list obs:bucket:listAllMyBuckets POST/v1/{project_id}/sdg/asset/obs/buckets dsc:asset:create obs:bucket:GetBucketStorage obs:bucket:listAllMyBuckets PUT/v1/{project_id}/sdg/asset/{asset_id}/name dsc:asset:update - POST/v1/{project_id}/period/order dsc:common:operate bss:renewal:update bss:order:update GET/v1/{project_id}/period/product/specification dsc:common:list - POST/v1/{project_id}/sdg/server/mask/dbs/templates/{template_id}/operation dsc:maskTask:operate - GET/v1/{project_id}/sdg/server/mask/dbs/templates/{template_id}/tasks dsc:maskTask:listSubTasks - PUT/v1/{project_id}/sdg/smn/topic dsc:common:operate - GET/v1/{project_id}/sdg/smn/topics dsc:common:list smn:topic:list GET/v1/{project_id}/openapi/called-records dsc:common:list - POST/v1/{project_id}/sdg/scan/job dsc:scanTask:create - GET/v1/{project_id}/sdg/scan/jobs dsc:scanTask:list - GET/v1/{project_id}/sdg/server/scan/groups dsc:scanRuleGroup:list - POST/v1/{project_id}/sdg/server/scan/groups dsc:scanRuleGroup:create - DELETE/v1/{project_id}/sdg/server/scan/groups/{group_id} dsc:scanRuleGroup:delete - GET/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:list - POST/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:create - PUT/v1/{project_id}/sdg/server/scan/rules dsc:scanRule:update - DELETE/v1/{project_id}/sdg/server/scan/rules/{rule_id} dsc:scanRule:delete - GET/v1/{project_id}/sdg/scan/job/{job_id}/results dsc:scanTask:getResults - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs/{db_id}/tables dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/dbs/{table_id}/columns dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/obs/buckets dsc:common:list - GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/obs/{bucket_id}/files dsc:common:list - POST/v1/{project_id}/data/mask dsc:sensitiveData:mask - POST/v1/{project_id}/doc-address/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/doc-address/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image-address/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/image-address/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image-address/watermark/extract-image dsc:watermark:extract - POST/v1/{project_id}/image/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/image/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/image/watermark/extract-image dsc:watermark:extract - POST/v1/{project_id}/sdg/database/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/sdg/database/watermark/extract dsc:watermark:extract - POST/v1/{project_id}/sdg/doc/watermark/embed dsc:watermark:embed - POST/v1/{project_id}/sdg/doc/watermark/extract dsc:watermark:extract - GET/v1/{project_id}/sdg/asset/{asset_type}/{asset_id}/detail dsc:common:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如dns:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DNS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DNS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dns:RecordSetNames string 多值 根据指定的记录集名称过滤访问。记录集名称所有字母必须为小写形式，不得带有结尾圆点。 dns:RecordSetTypes string 多值 根据指定的记录集类型过滤访问。取值范围：A、AAAA、MX、CNAME、TXT、NS、SRV、CAA。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeartsPipeline定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于CodeartsPipeline定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。 write - - codeartspipeline:pipelinetemplate:get 授予权限以查看流水线模板。 read - - codeartspipeline:pipelinetemplate:list 授予权限以查看流水线模板列表。 list - - codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get 授予权限以查看规则。 read - - codeartspipeline:rule:list 授予权限以查看规则列表。 list - - codeartspipeline:strategy:create 授予权限以创建策略。 write - - codeartspipeline:strategy:update 授予权限以更新策略。 write - - codeartspipeline:strategy:delete 授予权限以删除策略。 write - - codeartspipeline:strategy:get 授予权限以查看策略。 read - - codeartspipeline:strategy:list 授予权限以查看策略列表。 list - - codeartspipeline:extension:create 授予权限以创建插件。 write - - codeartspipeline:extension:update 授予权限以更新插件。 write - - codeartspipeline:extension:delete 授予权限以删除插件。 write - - codeartspipeline:extension:get 授予权限以查看插件。 read - - codeartspipeline:extension:list 授予权限以查看插件列表。 list - - CodeartsPipeline的API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v5/{tenant_id}/api/pipeline-templates codeartspipeline:pipelinetemplate:create - PUT /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:delete - GET /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:get - POST /v5/{tenant_id}/api/pipeline-templates/list codeartspipeline:pipelinetemplate:list - POST /v2/{domain_id}/rules/create codeartspipeline:rule:create - PUT /v2/{domain_id}/rules/{rule_id}/update codeartspipeline:rule:update - DELETE /v2/{domain_id}/rules/{rule_id}/delete codeartspipeline:rule:delete - GET /v2/{domain_id}/rules/{rule_id}/detail codeartspipeline:rule:get - GET /v2/{domain_id}/rules/query codeartspipeline:rule:list - POST /v2/{domain_id}/tenant/rule-sets/create codeartspipeline:strategy:create - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/update codeartspipeline:strategy:update - DELETE /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/delete codeartspipeline:strategy:delete - GET /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/detail codeartspipeline:strategy:get - GET /v2/{project_id}/rule-sets/{rule_set_id}/gray/detail codeartspipeline:strategy:get - GET /v2/{domain_id}/tenant/rule-sets/query codeartspipeline:strategy:list - GET /v2/{project_id}/rule-sets/query codeartspipeline:strategy:list - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/switch codeartspipeline:strategy:update - POST /v1/{domain_id}/agent-plugin/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/create-draft codeartspipeline:extension:create - POST /v1/{domain_id}/publisher/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/edit-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/update-info codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin-bind codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-plugin-icon codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-publisher-icon codeartspipeline:extension:update - DELETE /v1/{domain_id}/agent-plugin/delete-draft codeartspipeline:extension:delete - GET /v1/{domain_id}/publisher/query-all codeartspipeline:extension:list - GET /v1/{domain_id}/publisher/optional-publisher codeartspipeline:extension:list - POST /v1/{domain_id}/relation/stage-plugins codeartspipeline:extension:list - GET /v1/{domain_id}/relation/plugin/single codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/query-all codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/plugin-metrics codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-input codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-output codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/query codeartspipeline:extension:list - GET /v1/{domain_id}/agent-plugin/detail codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/all-version codeartspipeline:extension:list - DELETE /v1/{domain_id}/publisher/delete codeartspipeline:extension:delete - POST /v1/{domain_id}/publisher/detail codeartspipeline:extension:get - POST /v3/{domain_id}/extension/info/add codeartspipeline:extension:create - POST /v3/{domain_id}/extension/info/update codeartspipeline:extension:update - DELETE /v3/{domain_id}/extension/info/delete codeartspipeline:extension:delete - POST /v3/{domain_id}/extension/upload codeartspipeline:extension:update - GET /v3/{domain_id}/extension/detail codeartspipeline:extension:get - POST /v1/{domain_id}/relation/plugins codeartspipeline:extension:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cfw:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CFW定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CFW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cfw:LogGroupId string 单值 根据请求参数中指定的LTS日志组ID过滤访问。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cts:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CTS 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CTS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cts:TargetType string 单值 按照数据转储类型筛选访问权限。 cts:TargetAccountId string 单值 按照obs桶所属用户的DomainID（账号ID）筛选访问权限。 cts:TargetOrgId string 单值 按照obs桶所属组织筛选访问权限。 cts:TargetOrgPath string 单值 按照obs桶所属组织OU路径筛选访问权限。 cts:TargetType、cts:TargetOrgPath、cts:TargetOrgId和cts:TargetAccountId服务级条件键适用于CTS服务的OBS跨租户转储场景，必须按照xxx结合使用，不能单独使用。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeArts控制台定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于CodeArts控制台定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下CodeArts控制台的相关操作。 表1 CodeArts控制台支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 codearts:projectman:viewUsage 授予权限以在控制台查询项目管理服务资源用量。 read - - codearts:codehub:viewUsage 授予权限以在控制台查询 代码托管服务 资源用量。 read - - codearts:cloudbuild:viewUsage 授予权限以在控制台查询编译构建服务资源用量。 read - - codearts:codecheck:viewUsage 授予权限以在控制台查询代码检查服务资源用量。 read - - codearts:cloudtest:viewUsage 授予权限以在控制台查询云测-测试管理服务资源用量。 read - - codearts:apitest:viewUsage 授予权限以在控制台查询云测-接口测试服务资源用量。 read - - codearts:cloudrelease:viewUsage 授予权限以在控制台查询发布服务资源用量。 read - - codearts:cloudide:viewUsage 授予权限以在控制台查询CloudIDE服务资源用量。 read - - codearts:classroom:viewUsage 授予权限以在控制台查询Classroom服务资源用量。 read - - codearts:monthlyPackage:changeSpecification 授予权限以在控制台变更软件开发平台套餐规格。 write - - codearts:monthlyPackage:subscribe 授予权限以在控制台订购软件开发平台套餐。 write - - codearts:projectman:subscribeService 授予权限以在控制台开通按需项目管理服务。 write - - codearts:codehub:subscribeService 授予权限以在控制台开通按需代码托管服务。 write - - codearts:cloudbuild:subscribeService 授予权限以在控制台开通按需编译构建服务。 write - - codearts:codecheck:subscribeService 授予权限以在控制台开通按需代码检查服务。 write - - codearts:cloudtest:subscribeService 授予权限以在控制台开通按需云测-测试管理服务。 write - - codearts:apitest:subscribeService 授予权限以在控制台开通按需云测-接口测试服务。 write - - codearts:cloudrelease:subscribeService 授予权限以在控制台开通按需发布服务。 write - - codearts:package:subscribeService 授予权限以在控制台开通按需服务组合。 write - - codearts:cloudide:subscribeService 授予权限以在控制台开通按需CloudIDE服务。 write - - codearts:classroom:subscribeService 授予权限以在控制台开通按需Classroom服务。 write - - codearts:projectman:unsubscribeService 授予权限以在控制台取消开通按需项目管理服务。 write - - codearts:codehub:unsubscribeService 授予权限以在控制台取消开通按需代码托管服务。 write - - codearts:cloudbuild:unsubscribeService 授予权限以在控制台取消开通按需编译构建服务。 write - - codearts:codecheck:unsubscribeService 授予权限以在控制台取消开通按需代码检查服务。 write - - codearts:cloudtest:unsubscribeService 授予权限以在控制台取消开通按需云测-测试管理服务。 write - - codearts:apitest:unsubscribeService 授予权限以在控制台取消开通按需云测-接口测试服务。 write - - codearts:cloudrelease:unsubscribeService 授予权限以在控制台取消开通按需发布服务。 write - - codearts:package:unsubscribeService 授予权限以在控制台取消开通按需服务组合。 write - - codearts:cloudide:unsubscribeService 授予权限以在控制台取消开通按需CloudIDE服务。 write - - codearts:classroom:unsubscribeService 授予权限以在控制台取消开通按需Classroom服务。 write - - codearts:authorization:list 授予权限以在控制台查看租户授权列表。 list - - codearts:payPerUsePackage:listResourceDetail 授予权限以在控制台查看按需套餐包资源详情。 list - - codearts:monthlyPackage:listResourceDetail 授予权限以在控制台查看软件开发平台套餐资源详情。 list - - codearts:projectman:listResourceDetail 授予权限以在控制台查看项目管理资源列表详情。 list - - codearts:codehub:listResourceDetail 授予权限以在控制台查看仓库托管资源列表详情。 list - - codearts:cloudbuild:listResourceDetail 授予权限以在控制台查看构建资源列表详情。 list - - codearts:codecheck:listResourceDetail 授予权限以在控制台查看代码检查资源列表详情。 list - - codearts:cloudtest:listResourceDetail 授予权限以在控制台查看云测-测试管理资源列表详情。 list - - codearts:cloudrelease:listResourceDetail 授予权限以在控制台查看发布资源列表详情。 list - - codearts:cloudide:listResourceDetail 授予权限以在控制台查看CloudIDE资源列表详情。 list - - codearts:classroom:listResourceDetail 授予权限以在控制台查看Classroom资源列表详情。 list - - codearts:agileDevopsTrainingServices:listResourceDetail 授予权限以在控制台查看敏捷与DevOps培训服务资源列表详情。 list - - codearts:projectman:listSubscriptionHistory 授予权限以在控制台查看项目管理服务开通记录。 list - - codearts:codehub:listSubscriptionHistory 授予权限以在控制台查看代码托管服务开通记录。 list - - codearts:cloudbuild:listSubscriptionHistory 授予权限以在控制台查看编译构建服务开通记录。 list - - codearts:codecheck:listSubscriptionHistory 授予权限以在控制台查看代码检查服务开通记录。 list - - codearts:cloudtest:listSubscriptionHistory 授予权限以在控制台查看云测-测试管理服务开通记录。 list - - codearts:apitest:listSubscriptionHistory 授予权限以在控制台查看云测-接口测试服务开通记录。 list - - codearts:cloudrelease:listSubscriptionHistory 授予权限以在控制台查看发布服务开通记录。 list - - codearts:package:listSubscriptionHistory 授予权限以在控制台查看按需服务组合开通记录。 list - - codearts:cloudide:listSubscriptionHistory 授予权限以在控制台查看CloudIDE服务开通记录。 list - - codearts:classroom:listSubscriptionHistory 授予权限以在控制台查看Classroom服务开通记录。 list - - codearts:authorization:create 授予权限以在控制台新增企业账户授权。 permissions - - codearts:authorization:cancel 授予权限以在控制台取消企业账户授权。 permissions - - codearts:authorization:update 授予权限以在控制台同意或拒绝企业账户授权。 permissions - -

条件（Condition） 条件（Condition）是自定义SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如dli:）仅适用于对应服务的操作，详情请参见表5。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DLI 定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表5 DLI支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dli:VpcId string 单值 根据虚拟网络ID筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如config:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Config定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Config支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rms:AuthorizedAccountOrg... string 单值 根据指定的资源聚合授权账号的 Organizations Path 过滤访问。 rms:TrackerBucketName string 单值 根据指定的转储目标桶名称进行过滤访问。 rms:TrackerBucketPathPre... string 单值 根据指定的转储目标桶桶前缀进行过滤访问。 条件键示例 rms:AuthorizedAccountOrgPath 示例：禁止组织内账号给组织外的账号进行聚合授权。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:aggregationAuthorizations:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:AuthorizedAccountOrgPath": [ "organization_id/root_id/ou_id"【备注：此处需填写组织的路径ID】 ] } } } ] } rms:TrackerBucketName 示例：禁止资源记录器转储到非预期的OBS桶。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:trackerConfig:put" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:TrackerBucketName": [ "BucketName" ] } } } ] } rms:TrackerBucketPathPrefix 示例：禁止资源记录器转储到非预期的OBS路径下。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:trackerConfig:put" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:TrackerBucketPathPrefix": [ "BucketFolder" ] } } } ] }

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于TMS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于TMS定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下TMS的相关操作。 表1 TMS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 tms:predefineTags:list 授予权限以查询预定义标签列表。 list - - tms:predefineTags:create 授予权限以创建预定义标签。 write - - tms:predefineTags:update 授予权限以更新预定义标签。 write - - tms:predefineTags:delete 授予权限以删除预定义标签。 write - - tms:resourceTags:list 授予权限以查询资源标签列表。 list - - tms:resourceTags:create 授予权限以创建资源标签。 write - - tms:resourceTags:delete 授予权限以删除资源标签。 write - - tms:resources:list 授予权限以查询资源列表。 list - - tms:tagKeys:list 授予权限以查询标签key列表。 list - - tms:tagValues:list 授予权限以查询标签values列表。 list - - TMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1.0/predefine_tags tms:predefineTags:list - POST /v1.0/predefine_tags/action tms:predefineTags:create - PUT /v1.0/predefine_tags tms:predefineTags:update - POST /v1.0/predefine_tags/action tms:predefineTags:delete - GET /v2.0/resources/{resource_id}/tags tms:resourceTags:list - POST /v1.0/resource-tags/batch-create tms:resourceTags:create - POST /v1.0/resource-tags/batch-delete tms:resourceTags:delete - POST /v1.0/resource-instances/filter tms:resources:list - GET /v1.0/tag-keys tms:tagKeys:list - GET /v1.0/tag-values tms:tagValues:list -

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于EPS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于EPS定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下EPS的相关操作。 表1 EPS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 eps:enterpriseProjects:list 授予权限以查看企业项目列表。 list enterpriseProject * - eps:enterpriseProjects:create 授予权限以创建企业项目。 write enterpriseProject * - eps:enterpriseProjects:update 授予权限以修改企业项目。 write enterpriseProject * - eps:enterpriseProjects:enable 授予权限以启用企业项目。 write enterpriseProject * - eps:enterpriseProjects:disable 授予权限以停用企业项目。 write enterpriseProject * - eps:resources:list 授予权限以查看企业项目资源列表。 list enterpriseProject * - eps:resources:add 授予权限将资源迁入至企业项目。 write enterpriseProject * - eps:resources:remove 授予权限将资源从企业项目迁出。 write enterpriseProject * - EPS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1.0/enterprise-projects eps:enterpriseProjects:list - POST /v1.0/enterprise-projects eps:enterpriseProjects:create - PUT /v1.0/enterprise-projects/{enterprise_project_id} eps:enterpriseProjects:update - POST /v1.0/enterprise-projects/{enterprise_project_id}/action eps:enterpriseProjects:enable - POST /v1.0/enterprise-projects/{enterprise_project_id}/action eps:enterpriseProjects:disable - POST /v1.0/enterprise-projects/{enterprise_project_id}/resources/filter eps:resources:list - POST /v1.0/enterprise-projects/{enterprise_project_id}/resources-migrate eps:resources:add eps:resources:remove POST /v1.0/enterprise-projects/{enterprise_project_id}/resources-migrate eps:resources:remove eps:resources:add

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如ram:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 RAM 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 RAM支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ram:RequestedResourceType string 多值 根据指定的资源类型过滤访问。 ram:ResourceUrn string 多值 根据具有指定URN的资源过滤访问。 ram:Principal string 多值 根据指定使用者的格式过滤访问。 ram:TargetOrgPaths string 多值 根据指定使用者所在的组织路径过滤访问。 ram:PermissionUrn string 单值 根据指定的权限URN过滤访问。 ram:ShareOwnerAccountId string 单值 根据拥有的资源共享的特定账号过滤访问。例如，您可以使用此条件键指定可以根据资源共享所有者的账号ID接受或拒绝资源共享邀请。 ram:AllowExternalPrincipals boolean 单值 按允许或者拒绝与外部使用者共享的资源共享过滤访问。例如，如果操作只能在允许与外部使用者共享的资源共享上执行，请指定true。外部使用者是指在其组织之外的账号。 ram:RequestedAllowExternalPrincipals boolean 单值 根据指定的allow_external_principals过滤访问。外部使用者是指在其组织之外的账号。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如organizations:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Organizations定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Organizations支持的服务级条件键 服务级条件键 类型 单值/多值 说明 organizations:ServicePrincipal string 单值 根据指定的服务主体的名称过滤访问。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于 资源编排 服务 （ RFS ）定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于资源编排服务 （RFS）定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下资源编排服务 （RFS）的相关操作。 表1 资源编排服务 （RFS）支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 rf:privateTemplate:list 授予权限列举project下所有的私有模板。 list privateTemplate * - rf:privateTemplate:create 授予权限创建私有模板。 write privateTemplate * - rf:privateTemplate:delete 授予权限删除私有模板。 write privateTemplate * - rf:privateTemplate:showMetadata 授予权限展示私有模板的信息。 read privateTemplate * - rf:privateTemplate:updateMetadata 授予权限更新私有模板元数据。 write privateTemplate * - rf:privateTemplate:listVersions 授予权限展示私有模板下所有模板版本信息。 list privateTemplate * - rf:privateTemplate:createVersion 授予权限创建新的私有模板版本。 write privateTemplate * - rf:privateTemplate:showVersionContent 授予权限获取私有模板的版本内容。 read privateTemplate * - rf:privateTemplate:deleteVersion 授予权限删除私有模板的版本。 write privateTemplate * - rf:privateTemplate:showVersionMetadata 授予权限获取私有模板版本的元数据。 read privateTemplate * - rf:stack:create 授予权限创建堆栈。 write stack * - rf:stack:deploy 授予权限部署堆栈。 write stack * - rf:stack:list 授予权限查询堆栈列表。 list stack * - rf:stack:getMetadata 授予权限获取堆栈元数据信息。 read stack * - rf:stack:delete 授予权限删除堆栈。 write stack * - rf:stack:getTemplate 授予权限获取堆栈模板。 read stack * - rf:stack:listEvents 授予权限查询堆栈部署事件列表。 list stack * - rf:stack:listResources 授予权限查询堆栈资源信息列表。 list stack * - rf:stack:listOutputs 授予权限查询堆栈输出列表。 list stack * - rf:stack:createExecutionPlan 授予权限创建执行计划。 write stack * - rf:stack:getExecutionPlanMetadata 授予权限获取执行计划元数据信息。 read stack * - rf:stack:getExecutionPlan 授予权限获取执行计划信息。 read stack * - rf:stack:applyExecutionPlan 授予权限应用执行计划。 write stack * - rf:stack:listExecutionPlans 授予权限查询执行计划信息列表。 list stack * - rf:stack:deleteExecutionPlan 授予权限删除执行计划。 write stack * - rf:stack:continueRollback 授予权限继续回滚堆栈。 write stack * - rf:stack:continueDeploy 授予权限继续部署堆栈。 write stack * - rf:stack:estimateExecutionPlanPrice 授予权限预估执行计划价格。 read stack * - rf:stack:update 授予权限更新堆栈。 write stack * - rf:stackSet:create 授予权限创建资源栈集。 write stackSet * - rf:stackSet:list 授予权限查询资源栈集列表。 list stackSet * - rf:stackSet:showTemplate 授予权限获取资源栈集模板。 read stackSet * - rf:stackSet:showMetadata 授予权限获取资源栈集元数据信息。 read stackSet * - rf:stackSet:deploy 授予权限部署资源栈集。 write stackSet * - rf:stackSet:delete 授予权限删除资源栈集。 write stackSet * - rf:stackSet:update 授予权限更新资源栈集。 write stackSet * - rf:stackSet:listStackInstances 授予权限查询资源栈实例列表。 list stackSet * - rf:stackSet:createStackInstances 授予权限创建资源栈实例。 write stackSet * - rf:stackSet:deleteStackInstances 授予权限删除资源栈实例。 write stackSet * - rf:stackSet:showOperationMetadata 授予权限获取资源栈集操作元数据信息。 read stackSet * - rf:stackSet:listOperations 授予权限查询资源栈集操作信息列表。 list stackSet * - 资源编排服务 （RFS）的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/{project_id}/templates rf:privateTemplate:list - POST /v1/{project_id}/templates rf:privateTemplate:create - DELETE /v1/{project_id}/templates/{template_name} rf:privateTemplate:delete - GET /v1/{project_id}/templates/{template_name}/metadata rf:privateTemplate:showMetadata - PATCH /v1/{project_id}/templates/{template_name}/metadata rf:privateTemplate:updateMetadata - GET /v1/{project_id}/templates/{template_name}/versions rf:privateTemplate:listVersions - POST /v1/{project_id}/templates/{template_name}/versions rf:privateTemplate:createVersion - GET /v1/{project_id}/templates/{template_name}/versions/{version_id} rf:privateTemplate:showVersionContent - DELETE /v1/{project_id}/templates/{template_name}/versions/{version_id} rf:privateTemplate:deleteVersion - GET /v1/{project_id}/templates/{template_name}/versions/{version_id}/metadata rf:privateTemplate:showVersionMetadata - POST /v1/{project_id}/stacks rf:stack:create kms:cmk:decryptDataKey iam:agencies:pass POST /v1/{project_id}/stacks/{stack_name}/deployments rf:stack:deploy kms:cmk:decryptDataKey GET /v1/{project_id}/stacks rf:stack:list - GET /v1/{project_id}/stacks/{stack_name}/metadata rf:stack:getMetadata - DELETE /v1/{project_id}/stacks/{stack_name} rf:stack:delete - GET /v1/{project_id}/stacks/{stack_name}/templates rf:stack:getTemplate - GET /v1/{project_id}/stacks/{stack_name}/events rf:stack:listEvents - GET /v1/{project_id}/stacks/{stack_name}/resources rf:stack:listResources - GET /v1/{project_id}/stacks/{stack_name}/outputs rf:stack:listOutputs - POST /v1/{project_id}/stacks/{stack_name}/execution-plans rf:stack:createExecutionPlan kms:cmk:decryptDataKey GET /v1/{project_id}/stacks/{stack_name}/execution-plans/{execution_plan_name}/metadata rf:stack:getExecutionPlanMetadata - GET /v1/{project_id}/stacks/{stack_name}/execution-plans/{execution_plan_name} rf:stack:getExecutionPlan - POST /v1/{project_id}/stacks/{stack_name}/execution-plans/{execution_plan_name} rf:stack:applyExecutionPlan - GET /v1/{project_id}/stacks/{stack_name}/execution-plans rf:stack:listExecutionPlans - DELETE /v1/{project_id}/stacks/{stack_name}/execution-plans/{execution_plan_name} rf:stack:deleteExecutionPlan - POST /v1/{project_id}/stacks/{stack_name}/rollbacks rf:stack:continueRollback - POST /v1/{project_id}/stacks/{stack_name}/continuations rf:stack:continueDeploy - GET /v1/{project_id}/stacks/{stack_name}/execution-plans/{execution_plan_name}/prices rf:stack:estimateExecutionPlanPrice bss:discount:view PATCH /v1/{project_id}/stacks/{stack_name} rf:stack:update iam:agencies:pass POST /v1/stack-sets rf:stackSet:create iam:agencies:pass GET /v1/stack-sets rf:stackSet:list - GET /v1/stack-sets/{stack_set_name}/templates rf:stackSet:showTemplate - GET /v1/stack-sets/{stack_set_name}/metadata rf:stackSet:showMetadata - POST /v1/stack-sets/{stack_set_name}/deployments rf:stackSet:deploy - DELETE /v1/stack-sets/{stack_set_name} rf:stackSet:delete - PATCH /v1/stack-sets/{stack_set_name} rf:stackSet:update iam:agencies:pass GET /v1/stack-sets/{stack_set_name}/stack-instances rf:stackSet:listStackInstances - GET /v1/stack-sets/{stack_set_name}/operations/{stack_set_operation_id}/metadata rf:stackSet:showOperationMetadata - GET /v1/stack-sets/{stack_set_name}/operations rf:stackSet:listOperations -

条件（Condition） 条件键概述 条件（Condition）是身份策略生效的特定条件，包括条件键和运算符。 条件键表示身份策略语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如sts:）仅适用于对应服务的操作，详情请参见表3。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，身份策略才能生效。支持的运算符请参见：运算符。 STS支持的服务级条件键 STS定义了以下可以在自定义身份策略的Condition元素中使用的条件键，您可以使用这些条件键进一步细化身份策略语句应用的条件。 表3 STS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 sts:ExternalId string 单值 按您代入另一个账号中的角色时所需的唯一标识符筛选访问权限。 sts:SourceIdentity string 单值 按照在请求中传递的源身份筛选访问权限。 sts:TransitiveTagKeys string 多值 按照在请求中传递的可传递标签键筛选访问权限。 sts:AgencySessionName string 单值 按您代入角色时所需的角色会话名称筛选访问权限。 sts:DurationTimes numeric 单值 按照创建 Bearer Token 的持续时间筛选访问权限。 sts:ServiceName string 单值 按照创建 Bearer Token 的服务名筛选访问权限。

条件（Condition） 条件（Condition）是自定义SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如iam:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 IAM 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 IAM支持的服务级条件键 服务级条件键 类型 单值/多值 说明 iam:PolicyURN string 单值 按照身份策略的URN筛选访问权限。 iam:ServicePrincipal string 单值 按照服务关联委托传递的云服务对应的服务标识筛选访问权限。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LTS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于LTS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下LTS的相关操作。 表1 LTS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 lts:logGroup:deleteLogGroup 授予权限以删除指定日志组。 write logGroup * - lts:logGroup:listLogGroup 授予权限以查询日志组列表。 list - - lts:logGroup:createLogGroup 授予权限以创建日志组。 write - - lts:logGroup:updateLogGroup 授予权限以修改指定日志组。 write logGroup * - lts:logStream:listLogStream 授予权限以查询日志流列表。 list logGroup * - lts:logStream:deleteLogStream 授予权限以删除指定日志流。 write logStream * - lts:logStream:createLogStream 授予权限以创建日志流。 write logGroup * - lts:logStream:searchLog 授予权限以查询日志。 list logStream * - lts:logStream:searchStructLog 授予权限以查询结构化日志。 list logStream * - lts:logStream:searchLogHistogram 授予权限以查询日志直方图。 list logStream * - lts:transfer:createTransfer 授予权限以创建转储任务。 write - - lts:transfer:deleteTransfer 授予权限以删除转储任务。 write transfer * - lts:transfer:listTransfer 授予权限以查询日志转储任务列表。 list - - lts:transfer:updateTransfer 授予权限以修改转储任务。 write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。 write - - lts:configCenter:updateOverCollectSwitch 授予权限以修改超额采集开关。 write - - lts:structConfig:createStructConfig 授予权限以创建LTS结构化配置。 write logStream * - lts:structConfig:deleteStructConfig 授予权限以删除LTS结构化配置。 write logStream * - lts:structConfig:getStructConfig 授予权限以查询LTS结构化配置。 read logStream * - lts:structConfig:listStructTemplate 授予权限以查询结构化模板列表。 list - - lts:structConfig:updateStructConfig 授予权限以修改LTS结构化配置。 write logStream * - lts:mappingRule:create 授予权限以创建映射规则。 write - - lts:mappingRule:delete 授予权限以删除映射规则。 write - - lts:mappingRule:get 授予权限以查看映射规则详情。 read - - lts:mappingRule:list 授予权限以查询映射规则列表。 list - - lts:mappingRule:update 授予权限以修改映射规则。 write - - lts:logStream:getHistorySql 授予权限以查看日志流历史sql。 read logStream * - lts:alarmRule:createSqlAlarmRule 授予权限以创建sql告警规则的规则。 write - - lts:alarmRule:deleteSqlAlarmRule 授予权限以删除sql告警规则。 write alarmRule * - lts:alarmRule:updateSqlAlarmRule 授予权限以修改sql告警规则。 write alarmRule * - lts:alarmRule:listSqlAlarmRule 授予权限以查看sql告警规则。 list - - lts:alarmRule:createWordAlarmRule 授予权限以创建关键词告警规则。 write - - lts:alarmRule:deleteWordAlarmRule 授予权限以删除关键词告警规则。 write alarmRule * - lts:alarmRule:updateWordAlarmRule 授予权限以修改关键词告警规则。 write alarmRule * - lts:alarmRule:listWordAlarmRule 授予权限以查看关键词告警规则。 list - - lts:alarm:cleanAlarm 授予权限以删除告警。 write - - lts:alarm:listAlarm 授予权限以查看警列表。 list - - lts:logStream:listChart 授予权限以查询日志流图表。 list - - lts:alarmNoticeTemplate:create 授予权限以创建告警通知模板。 write - - lts:alarmNoticeTemplate:update 授予权限以修改告警通知模板。 write - - lts:alarmNoticeTemplate:delete 授予权限以删除告警通知模板。 write - - lts:alarmNoticeTemplate:list 授予权限以查询告警通知模板列表。 list - - lts:alarmNoticeTemplate:get 授予权限以查询告警通知模板详情。 read - - lts:hostGroup:create 授予权限以创建主机组。 write - - lts:hostGroup:delete 授予权限以删除主机组。 write hostGroup * - lts:host:list 授予权限以查询主机列表。 list - - lts:hostGroup:list 授予权限以查询主机组列表。 list accessConfig * - lts:hostGroup:update 授予权限以修改主机组。 write hostGroup * - lts:accessConfig:create 授予权限以创建日志接入。 write logStream * - lts:accessConfig:delete 授予权限以删除日志接入。 write accessConfig * - lts:accessConfig:list 授予权限以查询日志接入列表。 list - - lts:accessConfig:update 授予权限以修改日志接入。 write accessConfig * - hostGroup - lts:tag:create 授予权限以创建标签。 write - - lts:tag:delete 授予权限以删除标签。 write - - lts:logStream:createQuickQuery 授予权限以创建快速查询。 write logStream * - lts:logStream:deleteQuickQuery 授予权限以删除快速查询。 write logStream * - lts:logStream:listQuickQuery 授予权限以查询快速查询列表。 list logGroup * - lts:logFavorite:create 授予权限以创建日志收藏。 write logStream * - lts:logFavorite:delete 授予权限以删除日志收藏。 write - - lts:dashboardGroup:create 授予权限以创建仪表盘分组。 write - - lts:dashboard:create 授予权限以创建仪表盘。 write - - lts:trafficStatistic:get 授予权限以获取资源统计详情。 read - - lts:tokenizer:get 授予权限以获取已配置的分词符。 read - - lts:tokenizer:create 授予权限以保存分词符。 write - - lts:tokenizer:preview 授予权限以预览分词符。 read - - lts:usageAlarm:update 授予权限以打开或者关闭使用量预警。 write - - lts:csvTable:list 授予权限以获取关联数据源配置信息表。 list - - lts:csvTable:upload 授予权限以上传csv文件。 write - - lts:csvTable:get 授予权限以预览关联数据和查看关联数据源信息。 read - - lts:csvTable:create 授予权限以创建关联数据源。 write - - lts:csvTable:update 授予权限以更新关联数据源。 write - - lts:csvTable:delete 授予权限以删除关联数据源。 write - - lts:scheduledSql:create 授予权限以创建定时sql。 write - - lts:scheduledSql:delete 授予权限以删除定时sql。 write - - lts:scheduledSql:update 授予权限以修改定时sql。 write - - lts:scheduledSql:list 授予权限以获取定时sql列表。 list - - lts:scheduledSql:get 授予权限以获取定时sql详情。 read - - lts:scheduledSql:retry 授予权限以重试执行实例。 write - - lts:transfer:getDisList 授予权限以获取Dis通道列表。 list - - lts:transfer:listKafkaInstance 授予权限以获取kafka列表。 list - - lts:transfer:updateKafkaInstance 授予权限以更新kafka信息。 write - - lts:transfer:deleteKafkaInstance 授予权限以删除kafka信息。 write - - lts:transfer:listKafkaAuthorization 授予权限以查询用户配置kafka授权列表。 list - - lts:transfer:createKafkaAuthorization 授予权限以增加用户配置kafka授权列表。 write - - lts:transfer:deleteKafkaAuthorization 授予权限以删除用户配置kafka授权列表。 write - - lts:transfer:getTransfer 授予权限以获取转储任务的信息。 read transfer * - lts:transfer:getDwsInfo 授予权限以查询租户的dws信息。 read - - lts:transfer:registerDwsCluster 授予权限以注册dws集群。 write - - lts:hostGroup:getHost 授予权限以通过查询条件获取所有主机。 read - - lts:hostGroup:get 授予权限以通过查询条件获取单个主机组加入的所有配置。 read - - lts:accessConfig:get 授予权限以获取单个采集配置。 read accessConfig * - lts:logFavorite:list 授予权限以获取收藏列表。 list - - lts:logFavorite:update 授予权限以修改收藏。 write logStream * - lts:logGroup:getLogGroup 授予权限以查询日志组。 read logGroup * - lts:IndexConfig:list 授予权限以查询索引。 list logGroup * - lts:IndexConfig:create 授予权限以创建索引。 write logGroup * - lts:structConfig:listStructConfig 授予权限以获取日志流结构化信息。 list logStream * - lts:logStream:updateLogStream 授予权限以修改日志流。 write logStream * - lts:logStream:getRealtimeLog 授予权限以获取实时日志。 read logStream * - lts:logStream:getLogStream 授予权限以查询日志流信息。 read logStream * - lts:logStream:createLogFilterRules 授予权限以创建日志清洗规则。 write logStream * - lts:logStream:updateLogFilterRules 授予权限以修改日志清洗规则。 write logStream * - lts:logStream:deleteLogFilterRules 授予权限以删除日志清洗规则。 write logStream * - lts:logStream:listLogFilterRules 授予权限以查询日志清洗规则。 list logStream * - lts:logStream:getQuickQuery 授予权限以查看快速查询。 list logStream * - lts:logStream:updateQuickQuery 授予权限以修改快速查询。 write logStream * - lts:logStream:searchLogContext 授予权限以查询日志上下文。 read logStream * - lts:structConfig:getCustomTemplate 授予权限以查询用户自定义模板。 read - - lts:structConfig:createCustomTemplate 授予权限以创建用户自定义模板。 write - - lts:structConfig:updateCustomTemplate 授予权限以修改用户自定义模板。 write - - lts:structConfig:deleteCustomTemplate 授予权限以删除用户自定义模板。 write - - lts:structConfig:listCustomTemplate 授予权限以查询用户自定义模板列表。 read - - lts:structConfig:smartExtra 授予权限以智能提取结构化字段。 write - - lts:logStream:getAggrResult 授予权限以获取快速分析结果。 read logStream * - lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:logStream:getQuickAnalysisAggValue 授予权限以获取数值类型的快速分析结果。 read logStream * - lts:logStream:getWordFreqConfig 授予权限以查询用户已创建的快速分析字段。 read logStream * - lts:logStream:refreshWordFreqConfig 授予权限以修改快速分析字段。 write logStream * - lts:logCrux:list 授予权限以查询日志聚类信息。 list - - lts:logCrux:get 授予权限以获取日志聚类开关信息。 read - - lts:logCrux:enable 授予权限以开启日志聚类开关。 write - - lts:logCrux:disable 授予权限以关闭日志聚类开关。 write - - lts:logStream:updateChart 授予权限以更新用户日志看板。 write - - lts:logStream:createChart 授予权限以创建用户日志看板。 write - - lts:logStream:deleteChart 授予权限以删除用户日志看板。 write logStream * - lts:logStream:getChart 授予权限以获取用户日志看板。 read logStream * - lts:dashboard:deleteChart 授予权限以删除图表。 write dashboard * - lts:dashboard:listCharts 授予权限以展示仪表盘层级的图表。 list - - lts:dashboard:updateChart 授予权限以移动图表。 write dashboard * - lts:dashboard:getDashboard 授予权限以查询用户日志仪表盘。 read - - lts:dashboardGroup:getDashboardsGroup 授予权限以查询用户日志仪表盘分组。 read - - lts:dashboardGroup:updateDashboardsGroup 授予权限以修改用户日志仪表盘分组。 write - - lts:dashboardGroup:deleteDashboardsGroup 授予权限以更新用户日志仪表盘分组。 write - - lts:dashboard:CreateDashBoard 授予权限以根据日志仪表盘模板批量创建仪表盘。 write - - lts:dashboard:CreateDashBoardTemplate 授予权限以创建用户日志仪表盘模板。 write - - lts:dashboard:getDashBoardTemplate 授予权限以查询用户日志仪表盘模板。 read - - lts:dashboard:updateDashBoardTemplate 授予权限以修改用户日志仪表盘模板。 write - - lts:dashboard:deleteDashBoardTemplate 授予权限以删除用户日志仪表盘模板。 write - - lts:dashboardGroup:createLogDashboardTemplateGroup 授予权限以创建仪表盘模板分组。 write - - lts:dashboardGroup:updateLogDashboardTemplateGroup 授予权限以修改仪表盘模板分组。 write - - lts:dashboardGroup:deleteLogDashboardTemplateGroup 授予权限以删除用户日志仪表盘模板分组。 write - - lts:dashboard:listFilter 授予权限以查询仪表盘过滤器。 list dashboard * - lts:dashboard:createFilter 授予权限以创建仪表盘过滤器。 write dashboard * - lts:dashboard:updateFilter 授予权限以修改仪表盘过滤器。 write dashboard * - lts:dashboard:deleteFilter 授予权限以删除仪表盘过滤器。 write dashboard * - lts:alarmRule:listAlarmRules 授予权限以查询告警规则列表。 list - - lts:alarmRule:getKeywordsAlarmRule 授予权限以查询关键词告警规则。 read alarmRule * - lts:alarmRule:getSqlAlarmRule 授予权限以查询sql告警规则。 read alarmRule * - lts:alarm:listAlarmStatistic 授予权限以查询sql告警数据。 list - - lts:dashboard:update 授予权限以修改用户日志仪表盘。 write - - lts:dashboard:delete 授予权限以删除用户日志仪表盘。 write - - lts:logSearch:list 授予权限以获取集群列表，命名空间，组件，实例，日志，节点，日志文件页面组件列表，文件列表。 list - - lts:logSearch:getTime 授予权限以获取后端节点当前时间。 read - - lts:logSearch:getLogContext 授予权限以获取日志上下文。 read - - lts:logSearch:exportLogs 授予权限以下载日志。 write - - lts:ageingTime:get 授予权限以获取配额管理。 list - - lts:ageingTime:update 授予权限以修改配额管理。 write - - lts:logConfigPath:list 授予权限以查询VM日志路径配置。 list - - lts:logConfigPath:create 授予权限以新建VM日志路径配置。 write - - lts:structRule:get 授予权限以获取结构化规则。 read - - lts:structRule:create 授予权限以创建结构化规则。 write - - lts:structRule:delete 授予权限以删除结构化规则。 write - - lts:structRule:regex 授予权限以结构化提取。 write - - lts:logPail:list 授予权限以查询日志桶、桶内日志和日志柱状图。 list - - lts:structSql:list 授予权限以查询结构化日志。 list - - lts:logPail:create 授予权限以添加日志桶。 write - - lts:logPail:update 授予权限以修改日志桶。 list - - lts:logPail:delete 授予权限以删除日志桶。 write - - lts:storageRelation:list 授予权限以查询当前租户下的转储关系。 list - - lts:storageRelation:delete 授予权限以删除当前租户下的转储关系。 write - - lts:storage:batchAction 授予权限以周期性批量启停。 write - - lts:logPailDump:create 授予权限以添加日志转储。 write - - lts:statisticsRule:list 授予权限以查询统计规则。 list - - lts:statisticsRule:create 授予权限以创建统计规则。 write - - lts:statisticsRule:update 授予权限以修改统计规则。 write - - lts:statisticsRule:delete 授予权限以删除统计规则。 write - - lts:transfer:listKafkaInstanceTopic 授予权限以获取用户kafka所有topic。 list - - lts:logPackage:create 授予权限以购买资源包。 write - - lts:consumerGroup:create 授予权限以创建消费组。 write - - lts:consumerGroup:delete 授予权限以删除消费组。 write - - lts:consumerGroup:list 授予权限以查询消费组列表。 list - - lts:consumerGroup:get 授予权限以查询消费组详情。 read - - lts:consumerGroup:update 授予权限以修改消费组。 write - - lts:logStream:get 授予权限以获取日志流详情。 read - - lts:agency:listGroupAndStream 授予权限以获取委托方日志组日志流列表。 list - - lts:agency:listEps 授予权限以获取委托方EPS列表。 list - - lts:agency:listStructConfig 授予权限以获取委托方结构化配置。 list - - lts:logConverge:get 授予权限以获取多账号日志汇聚配置。 read - - lts:logConverge:update 授予权限以更新多账号日志汇聚配置。 write - - lts:logManager:createAggr 授予权限以创建快速分析聚合器。 write logStream * - lts:logManager:createAggrs 授予权限以批量创建快速分析聚合器。 write logStream * - lts:logManager:deleteAggr 授予权限以删除快速分析聚合器。 write logStream * - lts:logManager:deleteAggrs 授予权限以批量删除快速分析聚合器。 write logStream * - lts:logmanager:createLogFilter 授予权限以创建日志清洗规则。 write logStream * - lts:logmanager:listLogFilters 授予权限以查看日志清洗规则。 read logStream * - lts:logmanager:updateLogFilters 授予权限以修改日志清洗规则。 write logStream * - lts:logmanager:deleteLogFilters 授予权限以删除日志清洗规则。 write logStream * - lts:structConfig:regex 授予权限以正则结构化示例日志。 write - - LTS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/groups lts:logGroup:createLogGroup - DELETE /v2/{project_id}/groups/{log_group_id} lts:logGroup:deleteLogGroup - GET /v2/{project_id}/groups lts:logGroup:listLogGroup - POST /v2/{project_id}/groups/{log_group_id} lts:logGroup:updateLogGroup - POST /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:createLogStream - PUT /v2/{project_id}/groups/{log_group_id}/streams-ttl/{log_stream_id} lts:logStream:updateLogStream - DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} lts:logStream:deleteLogStream - GET /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:listLogStream - GET /v2/{project_id}/log-streams lts:logStream:listLogStream - POST /v2/{project_id}/lts/keyword-count lts:logStream:searchLogHistogram - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query lts:logStream:searchLog - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/log-dump/obs lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:HeadBucket POST /v2/{project_id}/transfers lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list DELETE /v2/{project_id}/transfers lts:transfer:deleteTransfer - GET /v2/{project_id}/transfers lts:transfer:listTransfer - POST /v2/{project_id}/lts/dms/kafka-instance lts:transfer:registerDmsKafkaInstance dms:instance:list PUT /v2/{project_id}/transfers lts:transfer:updateTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list POST /v2/{project_id}/collection/disable lts:configCenter:updateOverCollectSwitch - POST /v2/{project_id}/collection/enable lts:configCenter:updateOverCollectSwitch - POST /v3/{project_id}/lts/struct/template lts:structConfig:createStructConfig - POST /v2/{project_id}/lts/struct/template lts:structConfig:createStructConfig - DELETE /v2/{project_id}/lts/struct/template lts:structConfig:deleteStructConfig - GET /v3/{project_id}/lts/struct/customtemplate/list lts:structConfig:listStructTemplate - GET /v3/{project_id}/lts/struct/customtemplate lts:structConfig:listStructTemplate - GET /v2/{project_id}/lts/struct/template lts:structConfig:getStructConfig - PUT /v3/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - PUT /v2/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - POST /v2/{project_id}/lts/aom-mapping lts:mappingRule:create - DELETE /v2/{project_id}/lts/aom-mapping lts:mappingRule:delete - GET /v2/{project_id}/lts/aom-mapping/{rule_id} lts:mappingRule:get - GET /v2/{project_id}/lts/aom-mapping lts:mappingRule:list - PUT /v2/{project_id}/lts/aom-mapping lts:mappingRule:update - GET /v2/{project_id}/lts/notifications/topics lts:alarmNoticeTemplate:list smn:topic:list POST /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:createSqlAlarmRule - DELETE /v2/{project_id}/lts/alarms/sql-alarm-rule/{sql_alarm_rule_id} lts:alarmRule:deleteSqlAlarmRule - GET /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:listSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/status lts:alarmRule:updateSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:updateSqlAlarmRule - POST /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:createWordAlarmRule - DELETE /v2/{project_id}/lts/alarms/keywords-alarm-rule/{keywords_alarm_rule_id} lts:alarmRule:deleteWordAlarmRule - GET /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:listWordAlarmRule - PUT /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:updateWordAlarmRule - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/clear lts:alarm:cleanAlarm - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/query lts:alarm:listAlarm - GET /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/charts lts:logStream:listChart - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:create - DELETE /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:delete - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates/view lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/template/{template_name} lts:alarmNoticeTemplate:get - PUT /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:update - POST /v3/{project_id}/lts/host-group lts:hostGroup:create - DELETE /v3/{project_id}/lts/host-group lts:hostGroup:delete - POST /v3/{project_id}/lts/host-list lts:host:list aom:icmgr:get aom:icmgr:list POST /v3/{project_id}/lts/host-group-list lts:hostGroup:list - PUT /v3/{project_id}/lts/host-group lts:hostGroup:update - POST /v3/{project_id}/lts/access-config lts:accessConfig:create - DELETE /v3/{project_id}/lts/access-config lts:accessConfig:delete - POST /v3/{project_id}/lts/access-config-list lts:accessConfig:list - PUT /v3/{project_id}/lts/access-config lts:accessConfig:update - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action lts:tag:create - POST /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:createQuickQuery - DELETE /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:deleteQuickQuery - GET /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:listQuickQuery - GET /v2/{project_id}/lts/history-sql lts:logStream:getHistorySql - GET /v1.0/{project_id}/lts/groups/{group_id}/search-criterias lts:logStream:listQuickQuery - POST /v1.0/{project_id}/lts/favorite lts:logFavorite:create - DELETE /v1.0/{project_id}/lts/favorite/{fav_res_id} lts:logFavorite:delete - POST /v2/{project_id}/dashboard lts:dashboard:create - POST /v2/{project_id}/lts/dashboard-group lts:dashboardGroup:create - POST /v2/{project_id}/lts/timeline-traffic-statistics lts:trafficStatistic:get - POST /v2/{project_id}/lts/topn-traffic-statistics lts:trafficStatistic:get -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如smn:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SMN 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SMN支持的服务级条件键 服务级条件键 类型 单值/多值 说明 smn:TargetOrgPath string 单值 主题策略授权的组织路径。 smn:TargetOrgId string 单值 主题策略授权的组织ID。 smn:TargetAccountId string 单值 主题策略授权的账号ID。 smn:Protocol string 单值 订阅终端协议。 smn:Endpoint string 单值 订阅终端地址。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。 详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如dcs:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 D CS 定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DCS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dcs:backupEnabled boolean 单值 对DCS实例开启自动备份进行权限控制。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如IoTDA:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 IoTDA云服务定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 IoTDA支持的条件键 服务级条件键 类型 单值/多值 说明 iotda:AllowPublicAccess 布尔型 单值 根据修改实例时设置的允许公网访问的配置过滤请求 iotda:AllowPublicForwarding 布尔型 单值 根据修改实例时设置的允许公网转发的配置过滤请求 iotda:DomainConfiguration 布尔型 单值 根据修改实例时是否配置接入 域名 过滤请求 iotda:DeviceGroupId 字符串 单值 根据创建隧道时设置的设备所属的群组过滤请求 iotda:HttpForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的Http通道开启TLS协议的配置过滤请求 iotda:HttpForwardingEnableAuthentication 布尔型 单值 根据创建/修改规则动作时设置的Http通道启用Token认证的配置过滤请求 iotda:DMSKafkaForwardingEnableAuthentication 布尔型 单值 根据创建/修改规则动作时设置的DMSKafka通道启用mechanism为SCRAM-SHA-512的配置过滤请求 iotda:DMSKafkaForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的DMSKafka通道开启TLS协议的配置过滤请求 iotda:MysqlForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的Mysql协议通道开启TLS协议的配置过滤请求 iotda: MRS KafkaForwardingEnableAuthentication 布尔型 单值 根据创建/修改规则动作时设置的MRSKafka通道启用Kerberos认证的配置过滤请求 iotda:DMSRocketMQForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的RocketMQ通道开启TLS协议的配置过滤请求 iotda:MongoDBForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的MongoDB通道开启TLS协议的配置过滤请求

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如scm:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SCM定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SCM支持的服务级条件键 服务级条件键 类型 单值/多值 说明 scm:DomainNames string 多值 根据请求参数中的域名过滤访问。 scm:ValidationMethod string 单值 根据请求参数中的验证方式过滤访问。 scm:KeyAlgorithm string 单值 根据请求参数中的密钥算法过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：请参考全局条件键。 服务级条件键（前缀通常为服务缩写，如pca:）仅适用于对应服务的操作，详情请参见表 PCA支持的服务级条件键。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 PCA定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 PCA支持的服务级条件键 服务级条件键 类型 单值/多值 说明 pca:CommonName string 单值 根据请求参数中的证书通用名称过滤访问。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于SecMaster定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于SecMaster定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下SecMaster的相关操作。 表1 SecMaster支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 secmaster:playbook:get 授予权限获取剧本详情。 read playbook * - secmaster:playbook:create 授予权限创建剧本。 write playbook * - secmaster:playbook:delete 授予权限删除剧本。 write playbook * - secmaster:playbook:update 授予权限更新剧本。 write playbook * - secmaster:playbook:list 授予权限获取剧本列表。 list playbook * - secmaster:playbook:getStatistics 授予权限获取剧本统计数据。 read playbook * - secmaster:playbook:getMonitor 授予权限获取剧本运行监控数据。 read playbook * - secmaster:playbook:copyVersion 授予权限克隆剧本版本。 write playbook * - secmaster:playbook:approve 授予权限审核剧本。 write playbook * - secmaster:playbook:listApproves 授予权限查询审核列表。 list playbook * - secmaster:playbook:listInstances 授予权限查询实例列表。 list playbook * - secmaster:playbook:getInstanceAuditlog 授予权限查询实例审计日志列表。 list playbook * - secmaster:playbook:createVersion 授予权限创建剧本版本。 write playbook * - secmaster:playbook:createVersionRule 授予权限创建剧本版本规则。 write playbook * - secmaster:playbook:createVersionAction 授予权限创建剧本版本动作。 write playbook * - secmaster:playbook:getVersion 授予权限获取剧本版本。 read playbook * - secmaster:playbook:getVersionRule 授予权限获取剧本版本规则。 read playbook * - secmaster:playbook:deleteVersion 授予权限删除剧本版本。 write playbook * - secmaster:playbook:deleteVersionRule 授予权限删除剧本版本规则。 write playbook * - secmaster:playbook:deleteVersionAction 授予权限删除剧本版本动作。 write playbook * - secmaster:playbook:updateVersion 授予权限更新剧本版本。 write playbook * - secmaster:playbook:updateVersionRule 授予权限更新剧本版本规则。 write playbook * - secmaster:playbook:updateVersionAction 授予权限更新剧本版本动作。 write playbook * - secmaster:playbook:listVersions 授予权限获取剧本版本列表。 list playbook * - secmaster:playbook:listVersionActions 授予权限获取剧本版本动作列表。 list playbook * - secmaster:playbook:getInstance 授予权限查询实例详情。 read playbook * - secmaster:playbook:getInstanceTopology 授予权限查询实例拓扑详情。 read playbook * - secmaster:playbook:operateInstance 授予权限操作剧本实例。 write playbook * - secmaster:workflow:list 授予权限查询流程列表。 list workflow * - secmaster:workflow:get 授予权限获取流程的详情。 read workflow * - secmaster:workflow:delete 授予权限删除流程。 write workflow * - secmaster:workflow:create 授予权限创建流程。 write workflow * - secmaster:workflow:update 授予权限更新流程。 write workflow * - secmaster:workflow:listVersions 授予权限获取流程版本的列表。 list workflow * - secmaster:workflow:getVersion 授予权限获取流程的版本详情。 read workflow * - secmaster:workflow:deleteVersion 授予权限删除流程的版本。 write workflow * - secmaster:workflow:createVersion 授予权限创建流程版本。 write workflow * - secmaster:workflow:updateVersion 授予权限更新流程的版本。 write workflow * - secmaster:workflow:approveVersion 授予权限审核流程版本。 write workflow * - secmaster:workflow:validate 授予权限校验流程的版本。 write workflow * - secmaster:workflow:simulate 授予权限更新流程版本调试结果。 write workflow * - secmaster:workflow:getInstance 授予权限流程实例拓扑图。 read workflow * - secmaster:workflow:operateInstance 授予权限更新或创建流程实例。 write workflow * - secmaster:connection:list 授予权限查询资产连接列表。 list connection * - secmaster:connection:create 授予权限创建资产连接。 write connection * - secmaster:connection:get 授予权限获取资产连接详情。 read connection * - secmaster:connection:delete 授予权限删除资产连接。 write connection * - secmaster:connection:update 授予权限更新资产连接。 write connection * - secmaster:workspace:list 授予权限查询工作空间列表。 list workspace * - secmaster:workspace:create 授予权限创建工作空间。 write workspace * - secmaster:workspace:update 授予权限更新工作空间。 write workspace * - secmaster:workspace:get 授予权限获取工作空间详情。 read workspace * - secmaster:workspace:delete 授予权限删除工作空间。 write workspace * - secmaster:task:list 授予权限查询待办列表。 list task * - secmaster:task:create 授予权限创建待办。 write task * - secmaster:task:update 授予权限更新待办。 write task * - secmaster:task:get 授予权限获取待办详情。 read task * - secmaster:indicator:get 授予权限获取情报详情。 read indicator * - secmaster:indicator:create 授予权限创建情报。 write indicator * - secmaster:indicator:update 授予权限更新情报。 write indicator * - secmaster:indicator:delete 授予权限删除情报。 write indicator * - secmaster:indicator:list 授予权限查询情报列表。 read indicator * - secmaster:indicator:listTypes 授予权限查询情报类型列表。 list indicator * - secmaster:indicator:bindLayout 授予权限绑定情报类型与布局关联。 write indicator * - secmaster:alert:get 授予权限获取告警详情。 read alert * - secmaster:alert:create 授予权限创建告警。 write alert * - secmaster:alert:update 授予权限更新告警。 write alert * - secmaster:alert:list 授予权限搜索告警列表。 list alert * - secmaster:alert:delete 授予权限删除告警。 write alert * - secmaster:alert:batchOrders 授予权限告警转事件。 list alert * - secmaster:alert:listTypes 授予权限查询告警类型列表。 list alert * - secmaster:alert:listCategories 授予权限查询告警类别列表。 list alert * - secmaster:alert:createType 授予权限创建告警类型。 write alert * - secmaster:alert:updateType 授予权限修改告警类型。 write alert * - secmaster:alert:deleteType 授予权限删除告警类型。 write alert * - secmaster:alert:enableType 授予权限启用/禁用告警类型。 write alert * - secmaster:alert:bindLayout 授予权限绑定告警类型与布局关联。 write alert * - secmaster:incident:get 授予权限获取事件详情。 read incident * - secmaster:incident:create 授予权限创建事件。 write incident * - secmaster:incident:update 授予权限更新事件。 write incident * - secmaster:incident:list 授予权限搜索事件列表。 list incident * - secmaster:incident:listTypes 授予权限获取事件的类型列表。 list incident * - secmaster:incident:delete 授予权限删除事件。 write incident * - secmaster:incident:listCategories 授予权限查询事件类别列表。 list incident * - secmaster:incident:createType 授予权限创建事件类型。 write incident * - secmaster:incident:updateType 授予权限修改事件类型。 write incident * - secmaster:incident:deleteType 授予权限删除事件类型。 write incident * - secmaster:incident:enableType 授予权限启用/禁用事件类型。 write incident * - secmaster:incident:bindLayout 授予权限绑定事件类型与布局的关联。 write incident * - secmaster:dataobject:createRelation 授予权限创建对象关系。 write dataobject * - secmaster:dataobject:deleteRelation 授予权限删除对象关系。 write dataobject * - secmaster:dataobject:listRelation 授予权限搜索对象关系列表。 list dataobject * - secmaster:vulnerability:listGroup 授予权限查询漏洞组列表。 list vulnerability * - secmaster:vulnerability:getGroup 授予权限获取漏洞组详情。 read vulnerability * - secmaster:vulnerability:exportGroup 授予权限导出漏洞组列表。 list vulnerability * - secmaster:vulnerability:listType 授予权限查询漏洞类型列表。 list vulnerability * - secmaster:vulnerability:bindLayout 授予权限绑定漏洞类型与布局关联。 write vulnerability * - secmaster:vulnerability:createType 授予权限创建漏洞类型。 write vulnerability * - secmaster:vulnerability:updateType 授予权限修改漏洞类型。 write vulnerability * - secmaster:vulnerability:deleteType 授予权限删除漏洞类型。 write vulnerability * - secmaster:vulnerability:enableType 授予权限启用/禁用漏洞类型。 write vulnerability * - secmaster:subscription:deletePostPaidOrder 授予权限删除按需订单。 write - - secmaster:subscription:createPostPaidOrder 授予权限创建按需订单。 write - - secmaster:subscription:createPrePaidOrder 授予权限创建包周期订单。 write - - secmaster:subscription:getVersion 授予权限查看订购版本。 read - - secmaster:metric:getResult 授予权限查看指标结果。 read metric * - secmaster:metric:listResults 授予权限列出指标结果。 list metric * - secmaster:metric:listHits 授予权限列出指标Hits结果。 list metric * - secmaster:agency:get 授予权限查看委托。 read - - secmaster:agency:create 授予权限创建委托。 write - - secmaster:resource:getStatistics 授予权限查看资源统计。 read resource * - secmaster:resource:list 授予权限列出资源。 list resource * - secmaster:resource:import 授予权限导入资源。 write resource * - secmaster:resource:getTemplate 授予权限获取资源导入模板。 read resource * - secmaster:report:list 授予权限列出报告。 list report * - secmaster:report:get 授予权限查看报告。 read report * - secmaster:report:create 授予权限创建报告。 write report * - secmaster:report:update 授予权限更新报告。 write report * - secmaster:report:delete 授予权限删除报告。 write report * - secmaster:emergencyVulnerability:updateReadStatus 授予权限设置应急漏洞读取状态。 write emergencyVulnerability * - secmaster:emergencyVulnerability:list 授予权限列出应急漏洞。 list emergencyVulnerability * - secmaster:emergencyVulnerability:export 授予权限导出应急漏洞。 read emergencyVulnerability * - secmaster:dataspace:list 授予权限查询数据空间列表。 list dataspace * - secmaster:dataspace:create 授予权限创建数据空间。 write dataspace * - secmaster:dataspace:get 授予权限查询数据空间详情。 read dataspace * - secmaster:dataspace:update 授予权限更新数据空间。 write dataspace * - secmaster:dataspace:delete 授予权限删除数据空间。 write dataspace * - secmaster:pipe:list 授予权限查询数据管道列表。 list pipe * - secmaster:pipe:create 授予权限创建数据管道。 write pipe * - secmaster:pipe:get 授予权限查询数据管道详情。 read pipe * - secmaster:pipe:update 授予权限更新数据管道。 write pipe * - secmaster:pipe:delete 授予权限删除数据管道。 write pipe * - secmaster:pipe:getIndex 授予权限查询数据管道索引。 read pipe * - secmaster:pipe:updateIndex 授予权限更新数据管道索引。 write pipe * - secmaster:pipe:getConsumption 授予权限查询数据管道消费。 read pipe * - secmaster:pipe:createConsumption 授予权限创建数据管道消费。 write pipe * - secmaster:pipe:deleteConsumption 授予权限删除数据管道消费。 write pipe * - secmaster:search:listLogs 授予权限查询数据。 list workspace * - secmaster:search:listHistograms 授予权限查询数据分布直方图。 list workspace * - secmaster:search:createAnalysis 授予权限执行分析。 write workspace * - secmaster:searchCondition:list 授予权限查询检索条件列表。 list searchCondition * - secmaster:searchCondition:create 授予权限创建检索条件。 write searchCondition * - secmaster:searchCondition:get 授予权限查询检索条件详情。 read searchCondition * - secmaster:searchCondition:update 授予权限更新检索条件。 write searchCondition * - secmaster:searchCondition:delete 授予权限删除检索条件。 write searchCondition * - secmaster:alertRule:list 授予权限查询告警模型。 list alertRule * - secmaster:alertRule:create 授予权限创建告警模型。 write alertRule * - secmaster:alertRule:get 授予权限查询告警模型详情。 read alertRule * - secmaster:alertRule:update 授予权限修改告警模型。 write alertRule * - secmaster:alertRule:delete 授予权限删除告警模型。 write alertRule * - secmaster:alertRule:enable 授予权限启用告警模型。 write alertRule * - secmaster:alertRule:disable 授予权限停用告警模型。 write alertRule * - secmaster:alertRule:listMetrics 授予权限查询告警模型总览。 list alertRule * - secmaster:alertRule:createSimulation 授予权限模拟告警模型。 write alertRule * - secmaster:alertRuleTemplate:list 授予权限查询告警模板。 list alertRuleTemplate * - secmaster:alertRuleTemplate:get 授予权限查询告警模板详情。 read alertRuleTemplate * - secmaster:alertRuleTemplate:listMetrics 授予权限查询告警模板总览。 list alertRuleTemplate * - secmaster:dataclass:create 授予权限创建数据类。 write dataclass * - secmaster:dataclass:update 授予权限更新数据类。 write dataclass * - secmaster:dataclass:delete 授予权限删除数据类。 write dataclass * - secmaster:dataclass:get 授予权限获取数据类详情。 read dataclass * - secmaster:dataclass:list 授予权限查询数据类列表。 list dataclass * - secmaster:dataclass:createField 授予权限创建字段。 write dataclass * - secmaster:dataclass:updateField 授予权限更新字段。 write dataclass * - secmaster:dataclass:deleteField 授予权限删除字段。 write dataclass * - secmaster:dataclass:getField 授予权限获取字段详情。 read dataclass * - secmaster:dataclass:listFields 授予权限查询字段列表。 list dataclass * - secmaster:dataclass:getType 授予权限获取类型详情。 read dataclass * - secmaster:dataclass:listTypes 授予权限查询类型列表。 list dataclass * - secmaster:mapping:update 授予权限更新分类映射状态。 write mapping * - secmaster:mapping:list 授予权限搜索分类映射列表。 list mapping * - secmaster:mapping:getDatasource 授予权限获取分类映射数据源。 read mapping * - secmaster:mapping:listFunctions 授予权限获取分类映射函数。 list mapping * - secmaster:mapping:delete 授予权限删除分类映射。 write mapping * - secmaster:mapping:copy 授予权限复制分类映射。 write mapping * - secmaster:mapping:createClassifier 授予权限创建分类。 write mapping * - secmaster:mapping:updateClassifier 授予权限更新分类。 write mapping * - secmaster:mapping:getClassifier 授予权限获取分类信息。 read mapping * - secmaster:mapping:deleteClassifier 授予权限删除分类。 write mapping * - secmaster:mapping:createMapper 授予权限创建映射。 write mapping * - secmaster:mapping:updateMapper 授予权限更新映射。 write mapping * - secmaster:mapping:listMappers 授予权限查询映射列表。 list mapping * - secmaster:mapping:getMapper 授予权限获取映射信息。 read mapping * - secmaster:mapping:deleteMapper 授予权限删除映射。 write mapping * - secmaster:layout:listBusinessTypes 授予权限获取布局类型列表。 list layout * - secmaster:layout:list 授予权限查询布局列表。 list layout * - secmaster:layout:create 授予权限创建布局。 write layout * - secmaster:layout:delete 授予权限删除布局。 write layout * - secmaster:layout:update 授予权限更新布局。 write layout * - secmaster:layout:get 授予权限查询布局。 read layout * - secmaster:layout:createTemplate 授予权限另存为模板。 write layout * - secmaster:layout:createField 授予权限创建布局字段。 write layout * - secmaster:layout:listFields 授予权限获取布局字段列表。 list layout * - secmaster:layout:getField 授予权限获取布局字段详情。 read layout * - secmaster:layout:updateFiled 授予权限更新布局字段。 write layout * - secmaster:layout:deleteField 授予权限删除布局字段。 write layout * - secmaster:layout:listWizards 授予权限获取页面。 list layout * - secmaster:layout:createWizard 授予权限创建页面。 write layout * - secmaster:layout:getWizard 授予权限获取页面详情。 read layout * - secmaster:layout:deleteWizard 授予权限删除页面。 write layout * - secmaster:layout:updateWizard 授予权限更新页面。 write layout * - secmaster:catalogue:list 授予权限目录列表查询。 list catalogue * - secmaster:catalogue:update 授予权限更新目录。 write catalogue * - secmaster:playbook:export 授予权限导出剧本。 read playbook * - secmaster:playbook:import 授予权限导入剧本。 write playbook * - secmaster:indicator:downloadTemplate 授予权限下载指标模板。 read indicator * - secmaster:indicator:export 授予权限导出指标。 read indicator * - secmaster:indicator:import 授予权限导入指标。 write indicator * - secmaster:table:list 授予权限查询表。 list table * - secmaster:table:create 授予权限创建表。 write table * - secmaster:table:get 授予权限查询表详情。 read table * - secmaster:table:update 授予权限修改表。 write table * - secmaster:table:delete 授予权限删除表。 write table * - secmaster:table:createLock 授予权限锁止表。 write table * - secmaster:table:deleteLock 授予权限解锁表。 write table * - secmaster:table:listMetrics 授予权限查询表总览。 list table * - secmaster:table:updateSchema 授予权限设计表。 write table * - SecMaster的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks secmaster:playbook:create - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id} secmaster:playbook:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks secmaster:playbook:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/statistics secmaster:playbook:getStatistics - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/monitor secmaster:playbook:getMonitor - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/clone secmaster:playbook:copyVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/approve secmaster:playbook:approve - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/approval secmaster:playbook:listApproves - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances secmaster:playbook:listInstances - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/auditlogs secmaster:playbook:getInstanceAuditlog - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions secmaster:playbook:createVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules secmaster:playbook:createVersionRule - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions secmaster:playbook:createVersionAction - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:getVersion - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:getVersionRule - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:deleteVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:deleteVersionRule - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions/{action_id} secmaster:playbook:deleteVersionAction - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id} secmaster:playbook:updateVersion - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/rules/{rule_id} secmaster:playbook:updateVersionRule - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions/{action_id} secmaster:playbook:updateVersionAction - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/{playbook_id}/versions secmaster:playbook:listVersions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/versions/{playbook_version_id}/actions secmaster:playbook:listVersionActions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id} secmaster:playbook:getInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id}/topology secmaster:playbook:getInstanceTopology - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/instances/{instance_id}/operation secmaster:playbook:operateInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows secmaster:workflow:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:get - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:delete - GET /v1/{project_id}/workspacesPOST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows secmaster:workflow:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id} secmaster:workflow:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions secmaster:workflow:listVersions - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:getVersion - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:deleteVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions secmaster:workflow:createVersion - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id} secmaster:workflow:updateVersion - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id}/approval secmaster:workflow:approveVersion - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/validation secmaster:workflow:validate - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/versions/{version_id}/debug/result secmaster:workflow:simulate - GET /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/instances/{instance_id}/topology secmaster:workflow:getInstance - POST /v1/{project_id}/workspaces/{workspace_id}/soc/workflows/{workflow_id}/instances secmaster:workflow:operateInstance - GET /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials secmaster:connection:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials secmaster:connection:create - GET /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:get - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/assetcredentials/{asset_id} secmaster:connection:update - GET /v1/{project_id}/workspaces secmaster:workspace:list - POST /v1/{project_id}/workspaces secmaster:workspace:create - PUT /v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:update - GET /v1/{project_id}/workspaces/v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:get - DELETE /v1/{project_id}/workspaces/{workspace_id} secmaster:workspace:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/tasks secmaster:task:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/tasks secmaster:task:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/tasks/{task_id} secmaster:task:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/tasks/{task_id} secmaster:task:get - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators secmaster:indicator:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/{indicator_id} secmaster:indicator:delete - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/search secmaster:indicator:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/types secmaster:indicator:listTypes - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/types/layout secmaster:indicator:bindLayout - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} secmaster:alert:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts secmaster:alert:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/{alert_id} secmaster:alert:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/search secmaster:alert:list - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/alerts secmaster:alert:delete - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/batch-order secmaster:alert:batchOrders - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:listTypes - GET /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/category secmaster:alert:listCategories - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/{dataclass_type_id} secmaster:alert:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types secmaster:alert:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/enable secmaster:alert:enableType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/types/layout secmaster:alert:bindLayout - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} secmaster:incident:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents secmaster:incident:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/{incident_id} secmaster:incident:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/search secmaster:incident:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:listTypes - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/incidents secmaster:incident:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/category secmaster:incident:listCategories - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/{dataclass_type_id} secmaster:incident:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types secmaster:incident:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/alerts/incidents/enable secmaster:incident:enableType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types/layout secmaster:incident:bindLayout - POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} secmaster:dataobject:createRelation - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} secmaster:dataobject:deleteRelation - POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type}/search secmaster:dataobject:listRelation - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/search secmaster:vulnerability:listGroup - GET /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/{vul_id} secmaster:vulnerability:getGroup - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerability/export secmaster:vulnerability:exportGroup - GET /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:listType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/layout secmaster:vulnerability:bindLayout - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:createType - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/{dataclass_type_id} secmaster:vulnerability:updateType - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types secmaster:vulnerability:deleteType - POST /v1/{project_id}/workspaces/{workspace_id}/soc/vulnerabilities/types/enable secmaster:vulnerability:enableType - DELETE /v1/{project_id}/subscriptions/orders secmaster:subscription:deletePostPaidOrder - POST /v1/{project_id}/subscriptions/orders secmaster:subscription:createPostPaidOrder - POST /v1/{project_id}/subscriptions/orders/{order_id} secmaster:subscription:createPrePaidOrder - GET /v1/{project_id}/subscriptions/version secmaster:subscription:getVersion - GET /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/{metric_id}/result secmaster:metric:getResult - POST /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/results secmaster:metric:listResults - POST /v1/{project_id}/workspaces/{workspace_id}/sa/metrics/hits secmaster:metric:listHits - GET /v1/{project_id}/agency secmaster:agency:get - POST /v1/{project_id}/agency secmaster:agency:create - GET /v1/{project_id}/workspaces/{workspace_id}/resource-statistics secmaster:resource:getStatistics - GET /v1/{project_id}/workspaces/{workspace_id}/resources secmaster:resource:list - POST /v1/{project_id}/workspaces/{workspace_id}/sa/resources/import secmaster:resource:import - GET /v1/{project_id}/workspaces/{workspace_id}/sa/resource/template secmaster:resource:getTemplate - GET /v1/{project_id}/workspaces/{workspace_id}/sa/reports secmaster:report:list - GET /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:get - POST /v1/{project_id}/workspaces/{workspace_id}/sa/reports secmaster:report:create - PUT /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/sa/reports/{report_id} secmaster:report:delete - POST /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/read-status secmaster:emergencyVulnerability:updateReadStatus - GET /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/list secmaster:emergencyVulnerability:list - GET /v1/{project_id}/workspaces/{workspace_id}/sa/vulnerability/export secmaster:emergencyVulnerability:export - GET /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces secmaster:dataspace:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces secmaster:dataspace:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/dataspaces/{dataspace_id} secmaster:dataspace:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes secmaster:pipe:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes secmaster:pipe:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id} secmaster:pipe:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/index secmaster:pipe:getIndex - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/index secmaster:pipe:updateIndex - GET /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:getConsumption - POST /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:createConsumption - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/pipes/{pipe_id}/consumption secmaster:pipe:deleteConsumption - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/logs secmaster:search:listLogs - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/histograms secmaster:search:listHistograms - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/analysis secmaster:search:createAnalysis - GET /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions secmaster:searchCondition:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions secmaster:searchCondition:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/search/conditions/{condition_id} secmaster:searchCondition:delete - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:list - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:create - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} secmaster:alertRule:get - PUT /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/{rule_id} secmaster:alertRule:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules secmaster:alertRule:delete - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/enable secmaster:alertRule:enable - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/disable secmaster:alertRule:disable - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/metrics secmaster:alertRule:listMetrics - POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation secmaster:alertRule:createSimulation - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates secmaster:alertRuleTemplate:list - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates/{template_id} secmaster:alertRuleTemplate:get - GET /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/templates/metrics secmaster:alertRuleTemplate:listMetrics - POST /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses secmaster:dataclass:create - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:update - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id} secmaster:dataclass:get - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses secmaster:dataclass:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:createField - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields/{field_id} secmaster:dataclass:updateField - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:deleteField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields/{field_id} secmaster:dataclass:getField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/fields secmaster:dataclass:listFields - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/types/{dataclass_type_id} secmaster:dataclass:getType - GET /v1/{project_id}/workspaces/{workspace_id}/soc/dataclasses/{dataclass_id}/types secmaster:dataclass:listTypes - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id}/status secmaster:mapping:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/search secmaster:mapping:list - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/data-source secmaster:mapping:getDatasource - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/functions secmaster:mapping:listFunctions - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id} secmaster:mapping:delete - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/{mapping_id}/clone secmaster:mapping:copy - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers secmaster:mapping:createClassifier - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:updateClassifier - GET /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:getClassifier - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/classifiers/{classifier_id} secmaster:mapping:deleteClassifier - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers secmaster:mapping:createMapper - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:updateMapper - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/search secmaster:mapping:listMappers - POST /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:getMapper - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/mappings/mappers/{mapper_id} secmaster:mapping:deleteMapper - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/business-type secmaster:layout:listBusinessTypes - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/search secmaster:layout:list - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts secmaster:layout:create - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts secmaster:layout:delete - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id} secmaster:layout:update - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id} secmaster:layout:get - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/template secmaster:layout:createTemplate - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:createField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:listFields - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields/{field_id} secmaster:layout:getField - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields/{field_id} secmaster:layout:updateFiled - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/fields secmaster:layout:deleteField - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/wizards secmaster:layout:listWizards - POST /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/{layout_id}/wizards secmaster:layout:createWizard - GET /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards/{wizard_id};/v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards secmaster:layout:getWizard - DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards/{wizard_id} secmaster:layout:deleteWizard - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/layouts/wizards secmaster:layout:updateWizard - POST /v1/{project_id}/workspaces/{workspace_id}/soc/catalogues/search;/v1/{project_id}/workspaces/{workspace_id}/soc/catalogues secmaster:catalogue:list - PUT /v1/{project_id}/workspaces/{workspace_id}/soc/catalogues/{catalogue_id} secmaster:catalogue:update - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/export secmaster:playbook:export - POST /v1/{project_id}/workspaces/{workspace_id}/soc/playbooks/import secmaster:playbook:import - GET /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/template/download secmaster:indicator:downloadTemplate - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/export secmaster:indicator:export - POST /v1/{project_id}/workspaces/{workspace_id}/soc/indicators/import secmaster:indicator:import - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables secmaster:table:list - -POST /v2/{project_id}/workspaces/{workspace_id}/siem/tables secmaster:table:create - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:get - PUT /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:update - DELETE /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id} secmaster:table:delete - POST /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/lock secmaster:table:createLock - DELETE /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/lock secmaster:table:deleteLock - GET /v2/{project_id}/workspaces/{workspace_id}/siem/tables/metrics secmaster:table:listMetrics - PUT /v2/{project_id}/workspaces/{workspace_id}/siem/tables/{table_id}/schema secmaster:table:updateSchema -

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，组织将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如DEW:）仅适用于对应服务的操作，详情请参见表 DEW支持的服务级条件键。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DEW定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 KPS服务不支持在身份策略中的条件键中配置服务级的条件键。 表10 DEW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 kms:EncryptionAlgorithm string 单值 根据请求中的加解密算法的值过滤对加解密操作的访问。 kms:GranteePrincipalType string 单值 根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。 kms:GrantOperations string 多值 根据需要授权的操作过滤对CreateGrant操作的访问权限。 kms:GranteePrincipal string 单值 根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。 kms:KeyOrigin string 单值 根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。 kms:KeySpec string 单值 根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。 kms:KeyUsage string 单值 根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。 kms:MessageType string 单值 根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。 kms:RetiringPrincipal string 单值 根据授权中的retiring_principal筛选对CreateGrant操作的访问。 kms:SigningAlgorithm string 单值 根据请求中的signing_algorithm过滤对签名和验证操作的访问。 kms:ExpirationTime date 单值 根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。 kms:WrappingAlgorithm string 单值 根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。 kms:RecipientAttestation string 单值 根据请求中证明文档的平台配置寄存器（PCR）值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。 kms:MacAlgorithm string 单值 根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。 kms:RequestAlias string 单值 根据请求中的key_id属性过滤对API操作的访问。 kms:ResourceAliases string 多值 根据使用操作KMS密钥的alias属性过滤对API操作的访问。 kms:MultiRegionKeyType string 单值 根据使用操作KMS密钥的多区域密钥类型属性过滤对API操作的访问。 kms:PrimaryRegion string 单值 根据请求中的primary_region属性过滤对API操作的访问。 kms:EncryptionContext string 单值 根据请求中的additional_authenticated_data属性过滤对API操作的访问。 kms:ScheduleKeyDeletionPendingWindowInDays numeric 单值 根据请求中的pending_days属性过滤对API操作的访问。 csms:Type string 单值 根据凭据的类型筛选访问权限。 csms:KmsKeyId string 单值 根据KMS密钥ID筛选访问权限。 csms:VersionId string 单值 根据凭据版本ID筛选访问权限。 csms:VersionStage string 单值 根据凭据版本状态筛选访问权限。 csms:RecoveryWindowInDays numeric 单值 根据凭据删除等待时间筛选访问权限。 kps:KmsKeyId string 单值 根据请求中的kms密钥的ID过滤访问权限。 kps:Algorithm string 单值 根据请求中的SSH密钥对密钥算法过滤访问权限。

操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于AAD定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于AAD定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下AAD的相关操作。 表1 AAD支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - AAD的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v1/{project_id}/cad/alart/config aad:alarmConfig:create - POST /v1/cnad/alarm-config aad:alarmConfig:put - DELETE /v1/cnad/alarm-config aad:alarmConfig:delete - GET /v1/{project_id}/cad/alart/list aad:alarmConfig:get - GET /v1/cnad/alarm-config aad:alarmConfig:get - DELETE /v1/aad/certificate/del aad:certificate:delete - GET /v1/{project_id}/cad/domains/certificatelist aad:certificate:list - GET /v1/aad/certificate-details aad:certificate:list - POST /v1/{project_id}/cad/domains/certificate aad:certificate:set - POST /v1/aad/configs/lts/delete aad:dashboard:delete - GET /v1/{project_id}/cad/ddosinfo/events_type aad:dashboard:get - GET /v1/aad/configs/lts_region aad:dashboard:get - GET /v1/aad/configs/lts aad:dashboard:get - GET /v1/{project_id}/waf/event/timeline aad:dashboard:get - GET /v1/{project_id}/waf/event/request/peak aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/type aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source/num aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_pps aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_bps aad:dashboard:get - GET /v1/{project_id}/cad/instances/events aad:dashboard:get - GET /v1/{project_id}/cad/ddosinfo/peak aad:dashboard:get - POST /v1/aad/configs/lts aad:dashboard:set - POST /v1/{project_id}/aad/domains aad:domain:create - POST /v1/{project_id}/cad/domains/del aad:domain:delete - GET /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:get - GET /v1/{project_id}/cad/domains/ports aad:domain:list - GET /v1/{project_id}/cad/domains/name aad:domain:get - GET /v1/{project_id}/cad/domains/line/{enterprise_project_id} aad:domain:list - GET /v1/{project_id}/cad/domains/instances aad:domain:get - GET /v1/{project_id}/cad/domains/brief aad:domain:get - GET /v1/{project_id}/aad/domains/waf-list aad:domain:list - GET /v1/{project_id}/cad/domains aad:domain:list - POST /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:put - POST /v1/{project_id}/cad/domains/switch aad:domain:put - POST /v1/{project_id}/cad/domains/cnameDispatchSwitch aad:domain:put - POST /v1/{project_id}/cad/domains/cname/switch aad:domain:put - POST /v1/{project_id}/cad/instances/protocol_rule aad:forwardingRule:create - POST /v1/{project_id}/cad/instances/protocol_rule/import aad:forwardingRule:create - DELETE /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:delete - POST /v1/{project_id}/cad/instances/protocol_rule/batchdel aad:forwardingRule:delete - GET /v1/{project_id}/cad/instances/rules aad:forwardingRule:get - GET /v1/{project_id}/cad/instances/protocol_rule/export aad:forwardingRule:list - PUT /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:put - POST /v1/{project_id}/cad/instances/cad_open aad:instance:create - GET /v1/{project_id}/cad/products aad:instance:create - GET /v1/{project_id}/{resource_type}/{resource_id}/tags aad:instance:get - GET /v1/{project_id}/cad/upgradeproducts/{instance_id} aad:instance:get - GET /v1/{project_id}/cad/instances/detail/{instance_id} aad:instance:get - GET /v1/{project_id}/aad/instances/brief-list aad:instance:list - GET /v1/{project_id}/cad/sourceip aad:instance:list - GET /v1/{project_id}/cad/instances aad:instance:list - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action aad:instance:put - POST /v1/{project_id}/cad/instances/cad_spec_upgrade aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/name aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/elastic/{ip_id} aad:instance:put - POST /v1/{project_id}/aad/policies/waf/cc aad:policy:create - POST /v1/cnad/policies aad:policy:create - DELETE /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:delete - DELETE /v1/cnad/policies/{policy_id} aad:policy:delete - GET /v1/{project_id}/cad/flowblock aad:policy:get - GET /v1/cnad/policies/{policy_id} aad:policy:get - GET /v1/{project_id}/aad/policies/waf/cc aad:policy:list - GET /v1/cnad/policies aad:policy:list - PUT /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:put - POST /v1/{project_id}/cad/flowblock/udp aad:policy:put - POST /v1/{project_id}/cad/flowblock/foreign aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/add aad:policy:put - POST /v1/cnad/policies/{policy_id}/bind aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/delete aad:policy:put - POST /v1/cnad/policies/{policy_id}/unbind aad:policy:put - PUT /v1/cnad/policies/{policy_id} aad:policy:put - GET /v1/{project_id}/aad/quotas/domain-port aad:quotas:get - GET /v1/{project_id}/scc/waf/quota aad:quotas:get - GET /v1/{project_id}/cad/quotas aad:quotas:get - GET /v1/{project_id}/cad/ip/quotas aad:quotas:get - GET /v1/{project_id}/cad/bwlist/quota aad:quotas:get - GET /v1/{project_id}/aad/user-configs aad:quotas:get - POST /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:create - POST /v1/{project_id}/cad/bwlist/delete aad:whiteBlackIpRule:delete - GET /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:list - PUT /v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put - PUT /v1/cnad/packages/{package_id}/name aad:package:put - GET /v1/cnad/packages aad:package:list - GET /v1/cnad/packages/{package_id}/unbound-protected-ips aad:package:list - POST /v1/unblockservice/{domain_id}/unblock aad:block:put - GET /v1/unblockservice/{domain_id}/block-list aad:block:list - GET /v1/unblockservice/{domain_id}/unblock-quota-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/block-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/unblock-record aad:block:get - GET /v1/{project_id}/cad/instances/{instance_id}/elastic_count/{ip_id} aad:instance:get - GET /v1/{project_id}/cad/instances/{data_center}/elastic/{line}/{ip_id} aad:instance:get - GET /v1/aad/remain-vip-number aad:quotas:get - GET /v1/aad/instance/connection-num aad:dashboard:get - PUT /v1/{project_id}/cad/instances/{instance_id}/pp-switch aad:instance:put - GET /v1/aad-service/ces/{domain_id}/dims-info aad:instance:list - GET /v1/aad-service/ces/v2/{domain_id}/instances aad:instance:list - GET /v1/{project_id}/cad/instances/security-statistics aad:instance:list - GET /v1/aad/domain/instances/rules aad:domain:list - POST /v1/aad/policy/modify aad:policy:put - POST /v1/aad/geoip aad:policy:put - GET /v1/aad/geoip aad:policy:get - DELETE /v1/aad/geoip/{ruleId} aad:policy:delete - PUT /v1/aad/geoip/{ruleId} aad:policy:put - POST /v1/aad/whiteip aad:policy:put - GET /v1/aad/whiteip aad:policy:get - DELETE /v1/aad/whiteip aad:policy:delete - POST /v1/aad/custom aad:policy:put - GET /v1/aad/custom aad:policy:get - PUT /v1/aad/custom/{ruleId} aad:policy:put - DELETE /v1/aad/custom/{ruleId} aad:policy:delete - GET /v1/aad/policy/details aad:policy:get - POST /v1/aad/cc/intelligent/modify aad:policy:put - GET /v1/aad/geoip/map aad:policy:get - GET /v1/aad/instances/{instance_id}/{ip}/ddos-statistics aad:dashboard:get - GET /v1/aad/protected-domains/{domain_id} aad:domain:get - GET /v1/aad/protected-domains aad:domain:list - PUT /v1/aad/protected-domains/{domain_id} aad:domain:put - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-create aad:forwardingRule:create - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-delete aad:forwardingRule:delete - GET /v1/aad/instances/{instance_id}/{ip}/rules aad:forwardingRule:list - PUT /v1/aad/instances/{instance_id}/{ip}/rules/{rule_id} aad:forwardingRule:put - GET /v1/aad/instances aad:instance:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，组织将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如DDS:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DDS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DDS支持的服务级条件键 服务级条件键 类型 说明 dds:Encrypted boolean 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。 dds:BackupEnabled boolean 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于DDS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于DDS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下DDS的相关操作。 表1 DDS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 dds:instance:setSsl 授予切换SSL开关的权限。 permission_management instance - dds:instance:unbindEIP 授予解绑弹性公网IP的权限。 write - - dds:instance:migrateAz 授予实例迁移可用区的权限。 write - - dds:instance:listMigrateAz 授予查询实例可迁移的可用区列表的权限。 list - - dds:instance:updateIp 授予修改内网IP地址的权限。 write instance - dds:instance:bindEIP 授予绑定弹性公网IP的权限。 write - - dds:instance:resetPassword 授予重置数据库用户密码的权限。 write instance - dds:instance:checkPassword 授予检查数据库密码的权限。 read instance - dds:instance:updatePort 授予修改数据库端口的权限。 write instance - dds:backup:download 授予下载备份文件的权限。 read instance - dds:instance:setAuditLogPolicy 授予设置审计日志策略的权限。 permission_management instance - dds:instance:getAuditLogPolicy 授予查看审计日志策略的权限。 list instance - dds:instance:listAuditLog 授予查看审计日志的权限。 list instance - dds:instance:listSlowLog 授予查看慢日志的权限。 list instance - dds:instance:downloadSlowLog 授予下载慢日志的权限。 read instance - dds:instance:listErrorLog 授予查看错误日志的权限。 list instance - dds:instance:downloadErrorLog 授予下载错误日志的权限。 read instance - dds:configuration:delete 授予删除参数组的权限。 write - g:EnterpriseProjectId dds:configuration:update 授予修改参数组中参数值的权限。 write - g:EnterpriseProjectId dds:backup:listAll 授予查询备份列表的权限。 list - - dds:instance:updateConfiguration 授予修改实例或实例节点的参数组配置的权限。 write instance - dds:instance:applyConfiguration 授予应用参数配置到实例或实例节点的权限。 write - - dds:instance:createIp 授予创建IP的权限。 write - - dds:backup:delete 授予删除备份的权限。 write - - dds:instance:updateSecurityGroup 授予变更实例安全组的权限。 write instance - dds:configuration:listAll 授予查询参数组列表的权限。 list - g:EnterpriseProjectId dds:instance:getConfiguration 授予查询实例参数配置的权限。 read instance - dds:configuration:get 授予查询参数配置详情的权限。 read - g:EnterpriseProjectId dds:instance:updateSpec 授予变更实例规格的权限。 write instance - dds:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance - dds:instance:setSecondLevelMonitoringConfig 授予开启秒级监控的权限。 write instance - dds:instance:switchover 授予切换主备节点的权限。 write instance - dds:instance:extendVolume 授予扩容实例存储容量的权限。 write instance - dds:instance:listAll 授予查询数据库实例列表的权限。 list - - dds:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write - - dds:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read - - dds:instance:listRecycleInstances 授予查询回收站实例列表的权限。 list - - dds:instance:getUpgradeDuration 授予查询数据库补丁升级预估时长的权限。 read instance - dds:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - dds:configuration:listAppliedHistory 授予查询参数模板被应用历史的权限。 list - - dds:configuration:listUpdatedHistory 授予查询参数模板修改历史的权限。 list - - dds:configuration:compare 授予比较两个参数模板之间差异的权限。 read - - dds:configuration:copy 授予复制参数模板的权限。 write - - dds:configuration:reset 授予重置参数模板的权限。 write - - dds:instance:getSslCertDownloadAddress 授予获取下载ssl证书地址的权限。 read instance - dds:instance:addNode 授予扩容实例节点数量的权限。 write instance - dds:instance:deleteEnlargeFailedNode 授予删除扩容失败的实例节点的权限。 write instance - dds:task:listAll 授予查询任务列表的权限。 list - - dds:task:getDetail 授予查询任务详情的权限。 read - - dds:instance:restart 授予重启数据库实例的权限。 write instance - dds:instance:deleteAuditLog 授予删除审计日志的权限。 write instance - dds:instance:delete 授予删除数据库实例的权限。 write instance - dds:instance:updateName 授予修改实例名称的权限。 write instance - dds:instance:updateRemark 授予修改实例备注的权限。 write instance - dds:instance:setTag 授予批量添加或删除指定实例标签的权限。 tagging instance - dds:instance:listTags 授予查询指定实例的标签信息的权限。 read - - dds:instance:setBackupPolicy 授予设置自动备份策略的权限。 write - dds:BackupEnabled dds:instance:getBackupPolicy 授予查询自动备份策略的权限。 read - - dds:configuration:create 授予创建参数组的权限。 write - g:EnterpriseProjectId dds:instance:setSlowLogPlaintextStatus 授予切换慢日志明文显示开关的权限。 permission_management instance - dds:instance:getSlowLogPlaintextStatus 授予查看慢日志明文开关状态的权限。 read instance - dds:instance:downloadAuditLog 授予下载审计日志的权限。 read instance - dds:instance:create 授予创建数据库实例的权限。 write - dds:Encrypted dds:BackupEnabled dds:instance:restore 授予备份恢复原实例的权限。 write - - dds:backup:getRestoreTimeList 授予查询实例可恢复时间段的权限。 read - - dds:backup:getRestoreCollections 授予获取可恢复的数据库集合列表的权限。 list - - dds:backup:getRestoreDatabases 授予获取可恢复的数据库列表的权限。 list - - dds:instance:getConnectionStatistics 授予查询实例连接数统计信息的权限。 read instance - dds:instance:getQuotas 授予查询配额的权限。 read - - dds:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - dds:instance:getDatabaseUser 授予查询数据库用户列表的权限。 read instance - dds:instance:deleteDatabaseUser 授予删除数据库用户的权限。 write instance - dds:instance:createDatabaseRole 授予创建数据库角色的权限。 write instance - dds:instance:deleteDatabaseRole 授予删除数据库角色的权限。 write instance - dds:instance:getDatabaseRole 授予查询数据库角色列表的权限。 read instance - dds:instance:setSourceSubnet 授予网段配置的权限。 write instance - dds:instance:upgradeDatabaseVersion 授予升级数据库版本的权限。 write instance - dds:backup:create 授予创建数据库实例手动备份的权限。 write - - dds:instance:deleteSession 授予删除节点会话的权限。 write - - dds:instance:listSession 授予查询节点会话列表的权限。 list - - dds:instance:getShardingBalancer 授予查询集群实例负载均衡的权限。 read instance - dds:instance:setShardingBalancer 授予设置集群实例负载均衡的权限。 write instance - dds:instance:setBalancerWindow 授予设置集群均衡活动时间窗的权限。 write instance - dds:instance:updateOpsWindow 授予设置实例可维护时间窗的权限。 write instance - dds:instance:listFlavors 授予查询规格列表的权限。 read - - dds:instance:listStorageType 授予查询数据库磁盘类型的权限。 read - - dds:instance:listDatabaseVersion 授予查询数据库版本信息的权限。 read - - dds:tag:listAll 授予查询项目下所有标签信息的权限。 list - - dds:instance:reduceNode 授予缩容集群实例的节点数量的权限。 write instance - dds:instance:createDomainName 授予创建DNS的权限。 write - - dds:instance:updateDomainName 授予修改DNS名称的权限。 write - - dds:instance:updateReplicaSetName 授予修改数据库复制集名称的权限。 write instance - dds:instance:getDetail 授予查询实例详情的权限。 read instance - dds:instance:getNodeList 授予查询实例节点列表的权限。 read instance - dds:instance:updateTag 授予修改实例标签的权限。 tagging instance - dds:instance:deleteTag 授予删除实例标签的权限。 tagging instance - dds:backup:get 授予查询备份信息的权限。 read - - dds:offsiteBackup:listRegion 授予获取指定实例异地备份区域的权限。 read - - dds:offsiteBackup:listInstance 授予获取异地备份实例的权限。 read - - dds:offsiteBackup:listAll 授予获取异地备份列表的权限。 read - - dds:instance:saveLogConfig 授予批量保存日志配置的权限。 write - - dds:instance:deleteLogConfig 授予批量删除日志配置的权限。 write - - DDS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v3/{project_id}/instances dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - GET /v3/{project_id}/instances?id={id}&name={name}&mode={mode}&datastore_type={datastore_type}&vpc_id={vpc_id}&subnet_id={subnet_id}&offset={offset}&limit={limit} dds:instance:listAll - DELETE /v3/{project_id}/instances/{instance_id} dds:instance:delete - POST /v3/{project_id}/instances/{instance_id}/restart dds:instance:restart - POST /v3/{project_id}/instances/{instance_id}/enlarge-volume dds:instance:extendVolume - POST /v3/{project_id}/instances/{instance_id}/enlarge dds:instance:addNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - POST /v3/{project_id}/instances/{instance_id}/resize dds:instance:updateSpec - POST /v3/{project_id}/instances/{instance_id}/switchover dds:instance:switchover - POST/v3/{project_id}/instances/{instance_id}/switch-ssl dds:instance:setSSL - PUT /v3/{project_id}/instances/{instance_id}/modify-name dds:instance:updateName - POST /v3/{project_id}/instances/{instance_id}/modify-port dds:instance:updatePort - POST /v3/{project_id}/instances/{instance_id}/modify-security-group dds:instance:updateSecurityGroup - POST /v3/{project_id}/nodes/{node_id}/bind-eip dds:instance:bindEIP - POST /v3/{project_id}/nodes/{node_id}/unbind-eip dds:instance:unbindEIP - POST /v3/{project_id}/instances/{instance_id}/modify-internal-ip dds:instance:updateIp - POST /v3/{project_id}/instances/{instance_id}/create-ip dds:instance:createIp - GET /v3/{project_id}/instances/{instance_id}/migrate/az dds:instance:listMigrateAz - POST /v3/{project_id}/instances/{instance_id}/migrate dds:instance:migrateAz - GET /v3/{project_id}/nodes/{node_id}/sessions dds:instance:lisSession - POST /v3/{project_id}/nodes/{node_id}/session dds:instance:deleteSession - GET /v3/{projectId}/instances/{instance_id}/conn-statistics dds:instance:getConnectionStatistics - POST /v3/{project_id}/backups dds:backup:create - DELETE /v3/{project_id}/backups/{backups_id} dds:backup:delete - GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time}&mode={mode} dds:backup:listAll - GET /v3/{project_id}/instances/{instance_id}/backups/policy dds:instance:getBackupPolicy - PUT /v3/{project_id}/instances/{instance_id}/backups/policy dds:instance:setBackupPolicy - POST /v3/{project_id}/instances dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - GET /v3/{projectId}/backups/download-file dds:backup:download - GET /v3/{project_id}/instances/{instance_id}/restore-time dds:backup:getRestoreTimeList - GET /v3/{project_id}/instances/{instance_id}/restore-database dds:backup:getRestoreDatabases - GET /v3/{project_id}/instances/{instance_id}/restore-collection dds:backup:getRestoreCollections - POST /v3/{project_id}/instances/recovery dds:backup:restore - POST /v3/{project_id}/instances/{instance_id}/restore/collections dds:backup:restore - GET /v3/{project_id}/configurations dds:configuration:listAll - PUT /v3/{project_id}/configurations dds:configuration:create - DELETE /v3/{project_id}/configurations/{config_id} dds:configuration:delete - GET /v3/{projectId}/configurations/{configId} dds:configuration:get - PUT /v3/{project_id}/configurations/{config_id} dds:configuration:update - PUT /v3/{project_id}/configurations/{config_id}/apply dds:instance:applyConfiguration - GET /v3/{project_id}/instances/{instance_id}/configurations dds:instance:getConfiguration - PUT /v3/{project_id}/instances/{instance_id}/configurations dds:instance:updateConfiguration - GET /v3/{project_id}/instances/{instance_id}/slowlog dds:instance:listSlowLog - POST /v3/{project_id}/instances/{instance_id}/slowlog-download dds:instance:downloadSlowLog - GET /v3/{project_id}/instances/{instance_id}/errorlog dds:instance:listErrorLog - POST /v3/{project_id}/instances/{instance_id}/errorlog-download dds:instance:downloadErrorLog - POST /v3/{project_id}/instances/{instance_id}/auditlog-policy dds:instance:setAuditLogPolicy - GET /v3/{project_id}/instances/{instance_id}/auditlog-policy dds:instance:getAuditLogPolicy - GET /v3/{project_id}/instances/{instance_id}/auditlog dds:instance:listAuditLog - POST /v3/{project_id}/instances/{instance_id}/auditlog-links dds:instance:downloadAuditLog - POST /v3/{project_id}/instances/{instance_id}/tags/action dds:instance:setTag - GET /v3/{project_id}/instances/{instance_id}/tags dds:instance:listTags - POST /v3/{project_id}/instances/{instance_id}/db-user dds:instance:createDatabaseUser - POST /v3/{project_id}/instances/{instance_id}/db-role dds:instance:createDatabaseRole - DELETE /v3/{project_id}/instances/{instance_id}/db-user dds:instance:deleteDatabaseUser - DELETE /v3/{project_id}/instances/{instance_id}/db-role dds:instance:deleteDatabaseRole - PUT /v3/{project_id}/instances/{instance_id}/reset-password dds:instance:resetPasswd - GET /v3/{project_id}/instances/{instance_id}/db-user/detail? offset ={offset}&limit={limit}&user_name={user_name }&db_name={db_name} dds:instance:getDatabaseUser - GET /v3/{project_id}/instances/{instance_id}/db-roles?role_name={role_name}&db_name={db_name}&offset={offset}&limit={limit} dds:instance:getDatabaseRole - GET /v3/{project_id}/instances/{instance_id}/balancer dds:instance:getShardingBalancer - PUT /v3/{project_id}/instances/{instance_id}/balancer/{action} dds:instance:setShardingBalancer - PUT /v3/{project_id}/instances/{instance_id}/balancer/active-window dds:instance:setBalancerWindow -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如rds:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 RDS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 RDS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rds:Encrypted Boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。 rds:BackupEnabled Boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如SWR仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SWR定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SWR支持的服务级条件键 服务级条件键 类型 单值/多值 说明 swr:TargetOrgPath string 单值 按照共享目标账号所处的组织路径进行权限控制。 swr:TargetOrgId string 单值 按照共享目标账号所处的组织Id进行权限控制。 swr:TargetAccountId string 单值 按照共享目标账号Id进行权限控制。 swr:VpcId string 单值 按照用户VPC ID进行权限控制。 swr:SubnetId string 单值 按照用户Subnet ID进行权限控制。 swr:EnablePublicNameSpace boolean 单值 限制企业仓库是否允许创公开组织。 swr:EnableObsEncrypt boolean 单值 限制企业版实例是否必须使用加密桶。 swr:AllowPublicAccess boolean 单值 对镜像是否可以公开进行权限控制。 swr:TargetRegion string 单值 根据目标区域进行权限控制。