系统策略是指云服务在IAM预置的常用授权项,以下表格将展示不同云服务预置的系统策略。管理者权限代表该系统策略包含了执行当前服务下所有操作的权限,观察者、只读权限代表了当前服务下除了执行权限外的所有查询权限。
作用范围
系统策略的作用范围,代表使用该策略进行授权时,可选的授权范围。
通用
| 服务 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 通用 | 全局 | CtyunFullAccess | 天翼云全局读写权限(包含官网管理中心功能、接入IAM的一类资源池节点全量云服务操作) |
| 通用 | 全局 | CtyunResourceAdmin | 天翼云全量资源(接入IAM的一类资源池节点全量云服务)、订单、合同、账务、卡券等管理权限,不包含IAM功能权限 |
| 通用 | 全局 | CtyunReadOnlyAccess | 天翼云全局只读权限(包含官网管理中心只读操作、接入IAM的一类资源池节点全量云服务只读操作,暂不包含科研助手) |
| 通用 | 全局 | CtyunTenantGuest | 除统一身份认证服务外天翼云全局只读权限(包含官网管理中心只读操作,接入IAM的一类资源池节点全量云服务只读操作) |
备注:以上通用策略的构建基础是各产品接入的权限策略控制点(即:权限三元组),对于暂未接入IAM系统的产品或权限控制点默认不受到策略限制。
计算
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 天翼云电脑(政企版) | 全局 | ecpc_admin | 云电脑 -管理员权限 |
| 全局 | ecpc_viewer | 云电脑 - 只读权限 |
| 弹性云主机 | 资源池 | ecs user | 云主机服务-使用者权限 |
| 资源池 | ecs viewer | 云主机服务-观察者权限 |
| 资源池 | ecs admin | 云主机服务-管理者权限 |
| 资源池 | ServersGroups Viewer | 云主机组-观察者权限 |
| 资源池 | Iaas产品无企业项目属性 | 无企业项目属性资源Iaas(权限集合) |
| 全局 | snapshotpolicy Viewer | 快照策略服务-观察者权限 |
| 资源池 | ServerNics Admin | 弹性网卡-管理者权限 |
| 资源池 | ServerNics Viewer | 弹性网卡-观察者权限 |
| 资源池 | ServersGroups Admin | 云主机组-管理者权限 |
| 资源池 | snapshotpolicy Admin | 快照策略服务-管理者权限 |
| 镜像服务 | 全局 | ims viewer | 镜像服务-观察者权限 |
| 资源池 | ims admin | 镜像服务-管理者权限 |
| 弹性伸缩服务 | 全局 | scaling admin | 弹性伸缩服务-管理员权限 |
| 全局 | scaling viewer | 弹性伸缩服务-观察者权限 |
| 物理机 | 资源池 | dps viewer | 物理机服务-观察者权限 |
| 资源池 | dps admin | 物理机服务-管理者权限 |
存储
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 弹性文件服务 | 全局 | sfs admin | 弹性文件服务-管理者权限 |
| 全局 | sfs viewer | 弹性文件服务-观察者权限 |
| 全局 | sfspermission viewer | 弹性文件权限/权限组规则(无企业项目属性) |
| 全局 | sfspermission admin | 弹性文件权限组/权限组规则(无企业项目属性) |
| 云硬盘 | 资源池 | evs admin | 云硬盘服务-管理者权限 |
| 资源池 | evs viewer | 云硬盘服务-观察者权限 |
| 云硬盘备份 | 全局 | 云硬盘备份-管理者权限 | 云硬盘备份管理者(admin)权限 |
| 全局 | 云硬盘备份-观察者权限 | 云硬盘备份观察者(viewer)权限 |
| 云主机备份 | 全局 | csbs admin | 云主机备份-管理者权限 |
| 全局 | csbs viewer | 云主机备份-观察者权限 |
数据库
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 分布式缓存服务Redis版 | 全局 | DCS2 viewer | 只读用户 |
| 全局 | DCS2 user | 管理员 |
| 全局 | DCS2 admin | 超级管理员 |
网络与CDN
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 内网DNS | 全局 | idns viewer | 内网DNS查看者 |
| 全局 | idns admin | 内网DNS管理者 |
| 弹性负载均衡 | 全局 | elb viewer | 负载均衡-观察者权限 |
| 全局 | elb admin | 负载均衡-管理者权限 |
| 虚拟私有云 | 资源池 | vpc admin | 虚拟私有云-管理者权限 |
| 资源池 | vpc viewer | 虚拟私有云-观察者权限 |
| 资源池 | ipv6 admin | ipv6 admin |
| 资源池 | ipv6 viewer | ipv6 viewer |
| 资源池 | securityGpRules Viewer | 安全组规则-观察者权限 |
| 资源池 | vpcRoute Admin | 路由表-管理者权限 |
| 资源池 | securityGpRules Admin | 安全组规则-管理者服务 |
| 资源池 | shareImages Admin | 共享镜像服务-使用者权限 |
| 资源池 | vpcRoute Viewer | 路由表-观察者权限 |
| 全局 | peering admin | 对等连接-管理者权限 |
| 全局 | flowPackage viewer | 共享流量包观察者权限 |
| 全局 | flowPackage admin | 共享流量包管理者权限 |
| 全局 | peering viewer | 对等连接-查看者权限 |
| 云间高速 | 全局 | znet viewer | 云间高速-查看者权限 |
| 全局 | znet admin | 云间高速-管理者权限 |
| VPC终端节点 | 全局 | vpcep admin | VPC终端节点管理者权限 |
| 全局 | vpcep viewer | VPC终端节点查看者权限 |
| NAT网关 | 资源池 | nat admin | NAT网关-管理者权限 |
| 资源池 | nat viewer | NAT网关-观察者权限 |
容器与中间件
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 分布式消息服务Kafka | 全局 | KAFKA viewer | 只读用户 |
| 全局 | KAFKA user | 管理员 |
| 全局 | KAFKA admin | 超级管理员 |
| 分布式消息服务RabbitMQ | 全局 | AMQP viewer | 只读用户 |
| 资源池 | AMQP user | 管理员 |
| 全局 | AMQP admin | 超级管理员 |
| 全局 | RabbitMQ-4.0-只读管理员 | 4.0-只读管理员 |
| 全局 | RabbitMQ-4.0-超级管理员 | 4.0-超级管理员 |
| 全局 | RabbitMQ-4.0-普通管理员 | 4.0-普通管理员 |
| 分布式消息服务RocketMQ | 全局 | MQ2 viewer | 只读用户 |
| 容器云服务引擎CCSE | 全局 | MQ2 user | 管理员 |
| 全局 | MQ2 admin | 超级管理员 |
| 全局 | RocketMQ-MQ2 viewer | 只读访问分布式消息服务RocketMQ-MQ2的权限 |
| 全局 | RocketMQ-MQ2 admin | 分布式消息服务RocketMQ-MQ2管理权限 |
| 全局 | CCSE admin | CCSE超级管理员权限 |
| 全局 | CCSE user | CCSE管理员权限 |
| 全局 | CCSE viewer | CCSE只读用户权限 |
| 微服务应用平台MSAP | 全局 | MSAP管理员 | 管理员策略 |
| 全局 | MSAP普通用户 | MSAP普通用户策略 |
安全及管理
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 云监控 | 全局 | cm admin | 云监控服务-管理员权限 |
| 全局 | cm viewer | 云监控服务-观察者权限 |
| 服务器安全卫士(原生版) | 全局 | ctcsscn viewer | 服务器安全卫士(viewer)权限 |
| 全局 | ctcsscn admin | 服务器安全卫士(admin)权限 |
| Web应用防火墙(原生版) | 全局 | ctwaf admin | ctwaf admin策略 |
| 全局 | ctwaf viewer | ctwaf viewer策略 |
| 云审计 | 全局 | cloudaudit-auditor | 云审计审计员 |
| 全局 | cloudaudit-viewer | 云审计普通用户策略 |
| 全局 | cloudaudit-admin | 云审计管理员 |
| 密钥管理 | 全局 | kms admin | kms admin |
| 全局 | kms viewer | kms viewer |
企业应用
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 云通信-短信 | 全局 | SMS admin | 拥有云通信主账号的所有权限 |
| 全局 | SMS viewer | 拥有云通信控制台的只读权限 |
其他
| 云服务名称 | 作用范围 | 系统策略名称 | 系统策略描述 |
|---|
| 账务 | 全局 | CtyunAcctAdmin | 天翼云账务类(如成本、账单、发票等)全量操作权限(包含一类、二类资源池节点) |
| 业务 | 全局 | CtyunBssAdmin | 天翼云订单、合同、标签、客户信息管理全量操作权限(包含一类、二类资源池节点) |
| 订单 | 全局 | CtyunOrderViewer | 天翼云订单类查询权限(包含一类、二类资源池节点) |
| 全局 | CtyunOrderAdmin | 天翼云订单类全量操作权限(包含一类、二类资源池节点) |
| 标签 | 全局 | CtyunLABELReadOnlyAccess | 只读访问标签(LABEL)的权限 |
| 全局 | CtyunLABELFullAccess | 管理标签(LABEL)的全部权限 |
| 云网账号 | 全局 | cust admin | 云网账号管理员权限,包含对合同、标签、收货地址的管理权限 |
| 统一身份认证 | 全局 | ctiam viewer | 统一身份认证-观察者权限 |
| 全局 | ctiam admin | 统一身份认证-管理员权限 |
| 客服工单 | 全局 | 客服系统普通角色 | 客服系统只允许查看角色 |
| 全局 | 客服系统管理员角色 | 客服系统可读可写 |
| 活动与券 | 全局 | mkt admin | 优惠券管理者权限 |
| 消息管理 | 全局 | msg admin | 消息中心管理员权限 |
| 企业组织 | 全局 | CtyunOrgAdmin | 天翼云企业组织信息管理权限 |
| 全局 | CtyunOrgViewer | 天翼云企业组织信息查看权限 |
