区块链服务 BCS-策略及授权项说明:支持的授权项

时间：2024-07-03 14:21:02

区块链服务 BCS 权限策略说明

策略支持的操作与API相对应，授权项列表说明如下：

权限：允许或拒绝某项操作。
对应API接口：自定义策略实际调用的API接口。
授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。
依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。
IAM 项目(Project)/企业项目(Enterprise Project)：
自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。

如果您需要允许或者禁止某个接口的操作权限，请使用策略。使用策略时，注意事项如下：

目前只有基于已有集群创建的区块链实例支持细粒度授权功能，区块链所使用的集群需要进行权限预处理，应使用具有CCE Administrator及以上权限的账号在CCE控制台的权限管理页面为指定集群授予命名空间权限。例如为具有 BCS Fabric ReadOnlyAccess权限的用户组授予view命名空间权限，为具有B CS Fabric FullAcces权限的用户组授予cluster admin命名空间权限。具体操作请参考CCE命名空间权限。
若用户想要查询委托状态，则需额外授予IAM ReadOnlyAccess。若需要授权委托，请联系具有Security Administrator角色的账号进行授权。
如果需要创建包周期区块链实例，需要额外授予BSS Operator角色。请勿将BCS Fabric ReadOnlyAccess和BSS的角色放在一起使用，以免造成意外退订。
请勿将Tenant Guest角色与BCS Fabric FullAccess策略放在一起使用，否则会造成部分功能界面隐藏。
企业项目授权时，由于依赖服务的个别接口未实现基于企业项目的权限管理，需要在IAM用户组授予对应的项目权限。例如创建实例需要同时授予VPC ReadOnlyAccess项目权限，查看监控需要同时授予 AOM ReadOnlyAccess项目权限，查看合约实例需要同时授予CloudIDE ReadOnlyAccess项目权限，增加组织需要同时授予SFS Turbo ReadOnlyAccess项目权限。