本章节介绍如何将Spring Cloud和Dubbo框架应用无缝迁移上微服务云应用平台MSAP 概述 对于Spring Cloud和Dubbo框架的微服务应用，无需修改任何一行代码即可迁移至微服务云应用平台。该应用将拥有全生命周期管理的运维能力，监管控一体化、调用链查询和限流降级等微服务治理能力，以及金丝雀发布、离群实例摘除、无损下线和服务鉴权等微服务治理的差异化能力。 迁移方案架构 迁移优势 使用开源框架自建的微服务应用迁移至MSAP后将支持以下能力： 1. 在云原生K8s之上，以应用视角一站式完成开源微服务治理和K8s集群中应用的轻量化运维： 应用为中心视角，管理K8s的原生工作负载如Deployment、Pod等，提供多AZ实例打散的高可用部署。 提供分批发布、按流量比例、请求参数的金丝雀灰度发布，借助MSAP全维度监控的发布变更单，让您的变更记录可跟踪。 微服务云应用平台对接了主流DevOps系统，助力企业CD落地，降本增效。 2. 在开源微服务体系之上，对于使用Spring Cloud和Dubbo框架自建的微服务应用无需修改任何代码即可迁移至MSAP，支持所有应用框架的微服务治理： 支持应用发布过程中的无损下线、服务压测。 应用运行时的服务鉴权、限流降级、离群实例摘除。 应用运维的服务查询、服务测试。 3. 通过产品化的方式，实现可观测、可灰度、可回滚，让您的企业立即落地安全生产。 可观测：通过应用总览、新版发布变更记录和发布后自动生成发布报告来实现多维度全流程监控。 可灰度：支持金丝雀发布，支持应用按照流量比例或请求内容策略配置实现灰度。 可回滚：支持发布过程一键回滚，并支持已运行应用回退至某历史版本。

本文主要介绍了RDSPostgreSQL产品的高级防护优势，主要体现为：访问控制、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 RDSPostgreSQL实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，RDSPostgreSQL实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库PostgreSQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。 安全保护 RDSPostgreSQL处于天翼云多层防火墙保护之下，能够有效抗击各种恶意攻击，保障数据的安全性。在防御DDoS攻击、防SQL注入等方面具有优异的性能。为了进一步提升数据库的安全性，建议您使用内网方式访问RDSPostgreSQL实例，这样可以有效地避免DDoS攻击的影响。

云墙配置内容 正常配置入向DNAT映射和出向SNAT映射，启用安全策略进行相关防护。 云防火墙接口配置： 云防火墙业务映射DNAT配置： 云主机访问互联网的SNAT配置以及源路由。 SNAT： 源路由： 云防火墙安全策略配置。 测试结果 未过墙业务C主机正常访问互联网： B业务云主机访问外网正常： A业务正常访问：

应用发布成功后，请求对应接口不通？ 1. 登录微服务云应用控制台，这里以容器应用实例为例，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 在pod列表中查看应用日志，根据日志信息排查问题。 MSAP支持的服务连接管理类型？ 目前仅支持添加容器镜像服务CRS类型如下图所示。后续如有新增支持类型，会在文档中详细阐述。 应用启动报错，为什么pod状态仍然展示运行中？ 用发布到了云容器引擎中后则认为已经发布成功，要是需要应用启动成功才认为是成功可以配置健康检查来解决此问题。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 点击“新增版本“，选中“应用生命周期管理”，配置健康检查。 3. 配置应用能访问通的一个地址，配置之后应用能正常对外提供服务，pod状态才会展示运行中。 已发布应用，监控数据都是空的？ 监控数据数据为空或者都展示为0，说明没有请求进入到应用里面，没有监控数据进行上报。可以对应用发起请求再观察监控数据。 1. 登录微服务云应用控制台，这里以容器应用实例为例，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 在“容器组（Pod）”栏，点击“终端”，在终端中对应用发起请求。

section8ccc98d65a593df2)。 反弹Shell检测防御：防御网络上通过反弹Shell方式进行的网络攻击，配置方式请参见开启反弹Shell检测防御。 病毒防御（AV）：通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 病毒防御功能请参见拦截病毒文件。 防护动作介绍 观察：防火墙对匹配当前规则的流量，记录至攻击事件日志中，不做拦截。 拦截：防火墙对匹配当前规则的流量，记录至攻击事件日志中并进行拦截。 禁用：防火墙对匹配当前规则的流量，不记录、不拦截。 相关文档 整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。

目前微服务云应用平台处于公测阶段，服务协议请参见公测产品服务协议。

请参见天翼云云防火墙服务等级协议。

类别 说明 总览 提供ServiceStage产品总体看板，包含使用教程、应用、环境、组件等信息。 应用管理 应用列表提供应用生命周期管理的功能，如应用创建、新增组件、组件列表、环境视图、组件部署、组件详情页及运维入口等。 应用配置提供配置项管理和秘钥管理功能。 环境管理 环境是用于应用部署和运行的计算、存储、网络等基础设施的集合。 提供环境创建、编辑、删除等功能，以卡片形式展示已有环境包含的资源信息。 持续交付 提供工程构建、发布等功能。构建通过构建任务可以一键式生成软件包或者镜像包，实现“源码拉取>编译>打包>归档”的全流程自动化。 发布通过流水线工程可以完成一键部署，实现“源码拉取>编译>打包>归档>部署”的全流程自动化。利于集成环境统一、交付流程标准化。 仓库授权 ： 用户可以新建仓库授权，使构建工程、应用组件可以使用授权信息访问软件仓库。 软件中心 提供组织管理、镜像仓库等功能。组织管理用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。 镜像仓库提供用于存储、管理Docker容器镜像的场所，可以让您轻松存储、管理Docker容器镜像。 基础设施 提供应用基础设施管理功能，如微服务引擎（CSE）等。 其中，在微服务引擎（CSE）界面，进入微服务引擎控制中心，可以进行微服务治理相关的操作。

本文用图文的形式介绍Web应用防火墙

低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

本文用图文的形式介绍Web应用防火墙（原生版）独享模式。

请参见天翼云Web应用防火墙（独享版）服务等级协议。

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

天翼云Web应用防火墙服务协议

极速文件存储（SFS Turbo）具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 图CCE挂载极速文件存储卷 极速文件存储说明 符合标准文件协议：用户可以将文件系统挂载给服务器，像使用本地文件目录一样。 数据共享：多台服务器可挂载相同的文件系统，数据可以共享操作和访问。 私有网络：数据访问必须在数据中心内部网络中。 直接使用云上现有IAAS服务构建独享的云文件存储，为租户提供数据隔离保护和IOPS性能保障，主要面向DevOps、容器微服务、企业办公等场景。 适用于多读多写（ReadWriteMany）场景下的各种工作负载（Deployment/StatefulSet）和普通任务（Job）使用。

帮助您在单资源池单VPC场景下进行网络设计。 背景介绍 虚拟私有云VPC作为天翼云最基础的IaaS服务之一，是每个用户上云都需要用到的产品。合理的网络设计、有前瞻性的网络规划、充分的网络安全考量能够极大的便利您在天翼云上使用部署业务，降低业务运行和扩展面临的潜在网络问题。以下是一份单资源池、单VPC云网络架构设计指南，涵盖规划、部署、安全及优化关键点。本文适用于虚拟私有云的可用区资源池，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 设计目标 1. 简单高效：通过单一VPC满足单资源池业务需求，降低复杂度。 2. 安全隔离：通过子网分层、安全组实现内部资源隔离。 3. 高可用性：多可用区部署关键服务，避免单点故障。 4. 可扩展性：预留IP地址空间，支持未来扩展业务。 基础架构组件 组件 作用 虚拟私有云VPC 创建逻辑隔离的私有网络环境 子网 按业务分层划分网络段（Web/App/DB） 路由表 路由表是管理和控制网络流量的关键，用于控制虚拟私有云内网络流量走向 安全组 实例级流量控制（有状态防火墙） 网络ACL 子网级流量过滤（无状态规则） 弹性负载均衡 流量分发至多台后端服务器 NAT网关 私有子网访问互联网的统一出口 弹性IP 为云主机或NAT网关绑定公网地址 云监控 网络流量监控

退订订单进行退款时候，款项退到哪里？ 目前退款路径分原路返回和退回账户余额两种： 订单充值支付（微信、翼支付、支付宝）优先原路退回，退订后退款金额会原路返回，按照原支付路径实时退还至原付款账户。 订单充值支付（微信、翼支付、支付宝）原路退回若失败，退订后退款金额会退回账户余额，客户可根据需要进行提现 。提现详细操作请参考：余额提现 如果客户先用微信充值了5元，订单总金额消费53元，客户用了该笔余额5元，收银台选择微信支付了48元，那么该笔退款后客户会如何收到钱？ 余额支付的5元会退回账户余额，微信支付的48元会原路退回至原付款账户。

通过IAM授权使用云防火墙（原生版） 详细操作请参考： 1. 创建用户组和授权 2. 创建IAM用户和登录

本节主要介绍支持编排的云服务 应用编排服务目前支持对容器类服务及容器应用进行编排操作，具体支持的云服务为：云容器引擎、容器镜像服务、微服务云应用平台。

天翼云WEB应用防火墙(独享版)服务协议

Web应用防火墙包月/包年计费产品，本小节介绍Web应用防火墙价格以及订购。 产品价格 包月标准价格如下： 基础套餐包月（元/月） 域名扩展包（元/月） 带宽扩展包（元/月） 3488 540 900 针对一次性包年付费服务，标准价格按照下述列表内容进行操作，且在订购期间不允许退订。 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格×12×85% 包月标准价格×24×70% 包月标准价格×36×50% 规格说明 资源 规格 说明 基础套餐 默认包含1个域名包，支持10个子域名防护（限制仅支持1个一级域名） 默认包含200Mbps带宽 最大连接并发数10000QPS 最低带宽200Mbps 端口数一般10个以内 域名扩展包 每增加1个域名包规格，支持10个子域名防护（限制仅支持1个一级域名）。 带宽扩展包 每单位规格50Mbps。 最大支持1000Mbps。

天翼云Web应用防火墙（原生版）服务协议

云服务 产线分类 云服务名称 作用范围 系统策略名称 当前状态 历史系统策略描述 最新系统策略描述 计算 弹性伸缩服务 全局 as admin 正常使用 弹性伸缩全读写访问权限 计算 弹性伸缩服务 资源池 as viewer 正常使用 弹性伸缩服务只读访问权限 计算 弹性伸缩服务 全局 scaling admin 计划下线 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling admin 正常使用 弹性伸缩服务管理员权限 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 viewer不可操作 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 正常使用 弹性伸缩服务观察者权限 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scalingproject 计划下线 计算 镜像服务 资源池 image admin 计划下线 计算 镜像服务 资源池 image viewer 计划下线 计算 镜像服务 资源池 ims admin 正常使用 镜像服务管理者权限 镜像服务（IMS）全读写访问权限 计算 镜像服务 资源池 ims viewer 正常使用 镜像服务观察者权限 镜像服务（IMS）只读访问权限 计算 镜像服务 资源池 shareImages Admin 正常使用 共享镜像服务使用者权限 共享镜像服务全读写访问权限 计算 物理机 资源池 dps admin 正常使用 物理机服务管理者权限 物理机服务（DPS）全读写访问权限 计算 物理机 资源池 dps viewer 正常使用 物理机服务观察者权限 物理机服务（DPS）只读访问权限 计算 云硬盘 全局 vbs viewer 正常使用 云硬盘备份观察者权限 云硬盘备份（VBS）只读访问权限 计算 云主机 全局 csbs admin 正常使用 云主机备份管理者权限 云主机备份（CSBS）全读写访问权限 计算 云主机 资源池 ecs admin 正常使用 云主机服务管理者权限 云主机服务（ECS）全读写访问权限 计算 云主机 资源池 ecs user 计划下线 云主机服务使用者权限 云主机服务使用者权限 计算 云主机 资源池 ecs viewer 正常使用 云主机服务观察者权限 云主机服务（ECS）只读访问权限 计算 云主机 资源池 ServersGroups Admin 正常使用 云主机组管理者权限 云主机组（ServersGroups）全读写访问权限 计算 云主机 资源池 ServersGroups Viewer 正常使用 云主机组观察者权限 云主机组（ServersGroups）只读访问权限 计算 云助手 资源池 cas admin 正常使用 云助手admin权限 云助手（CAS）全读写访问权限 计算 云助手 资源池 cas user 计划下线 云助手user权限 云助手user权限 计算 云助手 资源池 cas viewer 正常使用 云助手viewer权限 云助手（CAS）只读访问权限 人工智能 ai网关 全局 CtyunAssumeRoleForAgwAccessISuite 正常使用 ai网关访问智算套件接口策略 人工智能 慧聚平台 全局 huijuOutAdmin 正常使用 管理员 人工智能 慧聚平台 全局 huijuOutCommon 正常使用 人工智能 慧聚平台 全局 huijuOutOps 正常使用 人工智能 慧聚平台 全局 huijuOutSLAdmin 正常使用 二级管理员 二级管理员 人工智能 科研助手 全局 bc admin 正常使用 批量计算服务管理者权限（最高权限） 科研助手管理者权限（最高权限，具备科研助手所有功能的读写权限） 人工智能 科研助手 全局 bc user 正常使用 批量计算服务使用者权限（读写权限） 科研助手使用者权限（科研助手部分读写访问权限，包含主流功能模块的创建、使用、删除等读写功能，不包括权限的配置、核心策略规则等写入权限） 人工智能 科研助手 全局 bc viewer 正常使用 批量计算服务观察者权限（只读权限） 科研助手观察者权限（仅可访问受控范围内的只读权限，部分权限类功能无法访问。） 人工智能 云算网一体化 全局 CtyunAssumeRoleForYswPolicy 正常使用 用于云算网一体化调度平台服务内联委托的授权策略 用于云算网一体化调度平台服务内联委托的授权策略 人工智能 云骁智算 全局 cwai developer 计划下线 云骁智算平台算法工程师访问策略 云骁智算平台算法工程师访问策略 人工智能 云骁智算 全局 cwai maintainer 计划下线 云骁智算平台业务运维工程师访问策略 云骁智算平台业务运维工程师访问策略 人工智能 云骁智算 全局 CWAI 云骁服务委托专用策略 计划下线 CWAI 云骁服务委托专用策略 CWAI 云骁服务委托专用策略 人工智能 智能体引擎 全局 CtyunAGEFullAccess 正常使用 本策略定义了使用智能体引擎的全部权限。 本策略定义了使用智能体引擎的全部权限。 人工智能 智能体引擎 全局 CtyunAGEReadOnlyAccess 正常使用 本策略定义了只读访问智能体引擎的权限。 本策略定义了只读访问智能体引擎的权限。 人工智能 智能体引擎 全局 CtyunAssumeRolePolicyForAGE 正常使用 用于CtyunAssumeRoleForAGE的服务委托授权策略 用于CtyunAssumeRoleForAGE的服务委托授权策略 存储 并行文件服务 资源池 并行文件查看者 正常使用 并行文件查看者 并行文件服务（HPFS）只读访问权限 存储 并行文件服务 资源池 并行文件管理者 正常使用 并行文件管理者 并行文件服务（HPFS）全读写访问权限 存储 存储容灾服务 全局 CtyunAssumeRolePolicyForADTS 正常使用 容灾多活管理员权限 容灾多活管理员权限 存储 存储容灾服务 资源池 snapshotpolicy Admin 正常使用 快照策略服务管理者权限 快照策略服务（snapshotpolicy）全读写访问权限 存储 存储容灾服务 全局 snapshotpolicy Viewer 正常使用 快照策略服务观察者权限 快照策略服务（snapshotpolicy）只读访问权限 存储 弹性文件 全局 sfsadmin 正常使用 弹性文件服务管理者权限 弹性文件服务（SFS Turbo）全读写访问权限 存储 弹性文件 全局 sfsviewer 正常使用 弹性文件服务观察者权限 弹性文件服务（SFS Turbo）只读访问权限 存储 弹性文件 全局 sfspermission admin 计划下线 弹性文件权限组/权限组规则（无企业项目属性） 弹性文件权限组/权限组规则（无企业项目属性） 存储 弹性文件 全局 sfspermission viewer 计划下线 弹性文件权限/权限组规则（无企业项目属性） 弹性文件权限/权限组规则（无企业项目属性） 存储 对象存储 全局 zos admin 正常使用 对象存储服务管理者权限 对象存储服务（ZOS）全读写访问权限 存储 对象存储 全局 zos viewer 正常使用 对象存储服务观察者权限 对象存储服务（ZOS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS观察者权限（viewer） 正常使用 海量文件服务OceanFS只读权限 海量文件服务（OceanFS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS管理者权限（admin） 正常使用 海量文件服务OceanFS全部权限 海量文件服务（OceanFS）全读写访问权限 存储 云备份 全局 CtyunCBRFullAccess 正常使用 云备份管理者（admin）权限 云备份（CBR）全读写访问权限 存储 云备份 全局 CtyunCBRReadOnlyAccess 正常使用 云备份查看者（viewer）权限 云备份（CBR）只读访问权限 存储 云容灾 全局 CtyunCDRFullAccess 正常使用 云容灾管理者权限 云容灾（CDR）服务全读写访问权限 存储 云容灾 全局 CtyunCDRReadOnlyAccess 正常使用 云容灾查看者权限 云容灾（CDR）只读访问权限 存储 云硬盘 资源池 evs admin 正常使用 云硬盘服务管理者权限 云硬盘服务（EVS）全读写访问权限 存储 云硬盘 资源池 evs viewer 正常使用 云硬盘服务观察者权限 云硬盘服务（EVS）只读访问权限 存储 云硬盘 全局 vbs admin 正常使用 云硬盘备份管理者权限 云硬盘备份（VBS）全读写访问权限 存储 云硬盘 全局 云硬盘备份观察者权限 计划下线 云硬盘备份观察者（viewer）权限 云硬盘备份观察者（viewer）权限 存储 云硬盘 全局 云硬盘备份管理者权限 计划下线 云硬盘备份管理者（admin）权限 云硬盘备份管理者（admin）权限 存储 云主机备份 全局 csbs viewer 正常使用 云主机备份观察者权限 云主机备份（CSBS）只读访问权限 网络 NAT网关 资源池 nat admin 正常使用 NAT网关管理者权限 NAT网关（NAT）全读写访问权限 网络 NAT网关 资源池 nat viewer 正常使用 NAT网关观察者权限 NAT网关（NAT）只读访问权限 网络 SDWAN 全局 sdwan admin 正常使用 SDWAN管理者权限 SDWAN全读写访问权限 网络 SDWAN 全局 sdwan viewer 正常使用 SDWAN观察者权限 SDWAN只读访问权限 网络 SDWAN 全局 SDWAN流日志admin 正常使用 SDWAN流日志管理员权限 SDWAN流日志全读写访问权限 网络 SDWAN 全局 SDWAN流日志viewer 正常使用 SDWAN流日志查看者权限 SDWAN流日志只读访问权限 网络 VPN 资源池 vpn admin 正常使用 VPN服务管理者权限 VPN服务全读写访问权限 网络 VPN 资源池 vpn viewer 正常使用 VPN服务观察者权限 VPN服务只读访问权限 网络 VPN 全局 添加VPN网关 正常使用 VPN网关添加权限 VPN网关添加权限 网络 弹性负载均衡 全局 alb admin 正常使用 alb 管理员权限 应用型负载均衡（ALB）全读写访问权限 网络 弹性负载均衡 全局 alb viewer 正常使用 alb 观察者权限 应用型负载均衡（ALB）只读访问权限 网络 弹性负载均衡 全局 elb admin 正常使用 弹性负载均衡（ELB）全读写访问权限 弹性负载均衡（ELB）全读写访问权限 网络 弹性负载均衡 全局 elb viewer 正常使用 负载均衡观察者权限 弹性负载均衡（ELB）只读访问权限 网络 弹性负载均衡 全局 gwlb admin 正常使用 gwlb 管理员权限 网关型负载均衡（GWLB）全读写访问权限 网络 弹性负载均衡 全局 gwlb viwer 正常使用 gwlb 查看者角色权限 网关型负载均衡（GWLB）只读访问权限 网络 共享流量包 全局 flowPackage admin 正常使用 共享流量包管理者权限 共享流量包全读写访问权限 网络 共享流量包 全局 flowPackage viewer 正常使用 共享流量包观察者权限 共享流量包只读访问权限 网络 内网DNS 全局 idns admin 正常使用 内网DNS管理者 内网DNS（CTIDNS）全读写访问权限 网络 内网DNS 全局 idns viewer 正常使用 内网DNS查看者 内网DNS（CTIDNS）只读访问权限 网络 虚拟私有云 资源池 ipv6 admin 计划下线 ipv6 admin ipv6 admin 网络 虚拟私有云 资源池 ipv6 viewer 计划下线 ipv6 viewer ipv6 viewer 网络 虚拟私有云 资源池 IPv6带宽admin 正常使用 IPv6带宽默认的管理员权限 IPv6带宽全读写访问权限 网络 虚拟私有云 资源池 IPv6带宽viewer 正常使用 IPv6带宽默认的查看用户权限 IPv6带宽只读访问权限 网络 虚拟私有云 资源池 IPv6网关admin 计划下线 IPv6网关默认的管理员权限 IPv6网关全读写访问权限 网络 虚拟私有云 资源池 IPv6网关viewer 计划下线 IPv6网关默认的查看用户权限 IPv6网关只读访问权限 网络 虚拟私有云 资源池 mirrorFilter admin 计划下线 流量镜像筛选条件管理者权限 流量镜像筛选条件（mirrorFilter）全读写访问权限 网络 虚拟私有云 资源池 mirrorFilter user 计划下线 流量镜像筛选条件使用者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 资源池 mirrorFilter viewer 计划下线 流量镜像筛选条件观察者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 资源池 securityGpRules Admin 计划下线 安全组规则管理者服务 安全组规则全读写访问权限 网络 虚拟私有云 资源池 securityGpRules Viewer 计划下线 安全组规则观察者权限 安全组规则只读访问权限 网络 虚拟私有云 资源池 securityGroup admin 计划下线 安全组管理者权限 安全组全读写访问权限 网络 虚拟私有云 资源池 securityGroup user 计划下线 安全组使用者权限 安全组查看和管理规则访问权限 网络 虚拟私有云 资源池 securityGroup viewer 计划下线 安全组观察者权限 安全组只读访问权限 网络 虚拟私有云 资源池 ServerNics Admin 计划下线 弹性网卡管理者权限 弹性网卡管理者权限 网络 虚拟私有云 资源池 ServerNics Viewer 计划下线 弹性网卡观察者权限 弹性网卡观察者权限 网络 虚拟私有云 资源池 trafficMirror admin 计划下线 流量镜像镜像会话管理者权限 流量镜像（trafficMirror）全读写访问权限 网络 虚拟私有云 资源池 trafficMirror user 计划下线 流量镜像镜像会话使用者权限 流量镜像（trafficMirror）查看、启停、变更镜像源和目的的访问权限 网络 虚拟私有云 资源池 trafficMirror viewer 计划下线 流量镜像镜像会话观察者权限 流量镜像（trafficMirror）只读访问权限 网络 虚拟私有云 资源池 vpc admin 正常使用 虚拟私有云管理者权限 虚拟私有云（VPC）全读写访问权限 网络 虚拟私有云 资源池 vpc viewer 正常使用 虚拟私有云观察者权限 虚拟私有云（VPC）只读访问权限 网络 虚拟私有云 全局 vpcep admin 正常使用 VPC终端节点管理者权限 VPC终端节点管理者权限 网络 虚拟私有云 全局 vpcep viewer 正常使用 VPC终端节点查看者权限 VPC终端节点查看者权限 网络 虚拟私有云 资源池 vpcRoute Admin 计划下线 路由表管理者权限 路由表全读写访问权限 网络 虚拟私有云 资源池 vpcRoute Viewer 计划下线 路由表观察者权限123 路由表只读访问权限 网络 虚拟私有云 资源池 VPC流日志 admin 计划下线 本策略定义了VPC流日志的管理员权限（全部权限） 网络 虚拟私有云 资源池 VPC流日志 viewer 计划下线 本策略定义了VPC流日志的查看者权限（可读访问） 网络 虚拟私有云 资源池 链路检测admin 计划下线 链路检测管理员 链路检测管理员 网络 虚拟私有云 资源池 链路检测viewer 计划下线 链路检测只读用户 链路检测只读用户 网络 云间高速 全局 CtyunZNETAdmin 正常使用 云间高速管理者权限 云间高速（EC）全读写访问权限 网络 云间高速 全局 CtyunZNETViewer 正常使用 云间高速查看者权限 云间高速（EC）只读访问权限 网络 云专线 全局 cda admin 计划下线 云专线服务管理者权限 计划隐藏 网络 云专线 全局 cda viewer 计划下线 云专线服务观察者权限 计划隐藏 网络 云专线 全局 云专线查看者 正常使用 云专线查看者视图 云专线（CDA）只读访问权限 网络 云专线 全局 云专线管理者 正常使用 云专线管理者视图 云专线（CDA）全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcadmin 正常使用 云电脑管理员权限 云电脑全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcviewer 正常使用 云电脑观察者权限 云电脑只读访问权限 云终端 天翼云手机 全局 云手机只读管理员 正常使用 云手机观察者权限 云手机只读访问权限 云终端 天翼云手机 全局 云手机admin管理员 正常使用 云手机管理员权限 云手机全读写访问权限 CDN与边缘 CDN 全局 cdn api admin 正常使用 CDN API管理员权限 CDN API的专属管控权限，支持CDN业务接口调用、接口权限管理及接口使用数据查询等全部操作能力 CDN与边缘 CDN 全局 cdn console admin 正常使用 CDN控制台管理员权限 CDN控制台全读写访问权限 CDN与边缘 CDN 全局 cdn console viewer 正常使用 CDN控制台观察者权限 CDN控制台只读访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console admin 正常使用 边缘安全加速平台Aone安全与加速管理员权限 边缘安全加速平台Aone安全与加速全读写访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console viewer 正常使用 边缘安全加速平台Aone安全与加速只读权限 边缘安全加速平台Aone安全与加速只读访问权限 容器与中间件 弹性容器实例 全局 CtyunECIFullPolicy 正常使用 ECI 完全访问权限系统策略 弹性容器实例（ECI）全读写访问权限 容器与中间件 弹性容器实例 全局 CtyunECIReadOnlyPolicy 正常使用 ECI 只读权限系统策略 弹性容器实例（ECI）只读访问权限 容器与中间件 分布式容器云平台 全局 cceone委托策略 正常使用 cceone委托策略 用于CtyunAssumeRoleForCCEONE的服务委托授权策略 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneadmin 正常使用 分布式容器云平台CCE One默认管理员策略，拥有所有权限（适用于一类节点资源池） 分布式容器云平台（CCE One）全读写访问权限 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneuser 正常使用 分布式容器云平台CCE One默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理分布式容器云平台（CCE One）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneviewer 正常使用 分布式容器云平台CCE One默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 分布式容器云平台（CCE One）只读访问权限 容器与中间件 分布式消息服务 全局 KAFKA admin 正常使用 自研分布式消息服务Kafka CTIAM 产品默认管理员策略 分布式消息服务Kafka全读写访问权限 容器与中间件 分布式消息服务 全局 KAFKA user 正常使用 自研分布式消息服务Kafka CTIAM 产品默认使用者策略 仅用于管理分布式消息服务Kafka控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 KAFKA viewer 正常使用 自研分布式消息服务Kafka CTIAM 产品默认浏览者策略 分布式消息服务Kafka只读访问权限 容器与中间件 分布式消息服务 全局 lnlineDelegationRolePolicyKafka 正常使用 分布式消息KAFKA内联委托角色策略 用于lnlineDelegationRolePolicyKafka的服务委托授权策略 容器与中间件 分布式消息服务 全局 MQ2 admin 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认管理员策略 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 MQ2 user 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认使用者策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQ2 viewer 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认浏览者策略 分布式消息服务RocketMQ只读访问权限 容器与中间件 分布式消息服务 全局 MQTT只读管理员 正常使用 分布式消息服务MQTT只读访问权限 分布式消息服务MQTT只读访问权限 容器与中间件 分布式消息服务 全局 MQTT普通管理员 正常使用 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQTT超级管理员 正常使用 分布式消息服务MQTT全读写访问权限 分布式消息服务MQTT全读写访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0 默认浏览者 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品默认浏览者策略 分布式消息服务RabbitMQ只读访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0普通使用者 正常使用 自研分布式消息服务RabbitMQCTIAM 产品默认使用者策略 仅用于管理分布式消息服务RabbitMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RabbitMQ4.0超级管理员 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品超级管理员策略 分布式消息服务RabbitMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 admin 正常使用 分布式消息服务RocketMQMQ2管理权限 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 user 正常使用 分布式消息服务RocketMQ 普通用户权限策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RocketMQMQ2 viewer 正常使用 只读访问分布式消息服务RocketMQMQ2的权限 分布式消息服务RocketMQ只读访问权限 容器与中间件 函数计算 全局 CtyunFcDefaultDelegateRolePolicy 正常使用 函数计算服务委托 用于CtyunFcDefaultDelegateRole的服务委托授权策略 容器与中间件 函数计算 全局 CtyunFcFullPolicy 正常使用 管理函数计算（FC）服务的权限 函数计算（FC）全读写访问权限 容器与中间件 函数计算 全局 CtyunFcInvocationPolicy 正常使用 调用函数计算（FC）服务的权限 函数计算（FC）产品提供的函数调用权限 容器与中间件 函数计算 全局 CtyunServiceInlineDelegateRolePolicyForFC 正常使用 函数计算内联委托 用于CtyunServiceDelegateRoleForFC的服务委托授权策略 容器与中间件 全局事务服务 资源池 GTS普通用户策略 计划下线 GTS普通用户，可使用事务分组设置相关正常功能 GTS普通用户，可使用事务分组设置相关正常功能 容器与中间件 全局事务服务 资源池 GTS管理员策略 计划下线 GTS管理员用户，拥有所有功能权限 GTS管理员用户，拥有所有功能权限 容器与中间件 容器镜像服务 全局 CRS LTS委托策略 正常使用 容器镜像服务CRS委托调用LTS策略，用于用户委托调用LTS相关接口 用于CtyunLTSAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CRS委托策略 正常使用 用于CRS委托调用VPCE、内网DNS的委托策略 用于CtyunAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSAccessZOS 正常使用 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSOpenZOS 正常使用 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器与中间件 容器镜像服务 全局 容器镜像服务CRS admin 正常使用 容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限 容器镜像服务（CRS）全读写访问权限 容器与中间件 容器镜像服务 全局 容器镜像服务CRS user 正常使用 容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限 仅用于管理容器镜像服务（CRS）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 容器镜像服务 全局 容器镜像服务CRS viewer 正常使用 容器镜像服务CRS只读用户权限策略，对CRS所有资源拥有只读权限 容器镜像服务（CRS）只读访问权限 容器与中间件 事件总线 全局 CtyunAssumePolicyForEbByCloudflow 正常使用 事件总线获取工作流执行权限的服务内联委托角色策略 用于CtyunAssumeRoleForEbByCloudflow的服务委托授权策略 容器与中间件 事件总线 全局 CtyunAssumePolicyForEventBridge 正常使用 事件总线默认服务内联委托策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationPolicyForEb 正常使用 事件总线默认服务内联委托策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEb 正常使用 事件总线服务内联委托角色策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEventBridge 正常使用 事件总线默认服务内联委托角色策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 EventBridge admin 正常使用 超级管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 事件总线（EventBridge）全读写访问权限 容器与中间件 事件总线 全局 Eventbridge publisher 正常使用 仅拥有事件总线EventBridge事件的发送权限 事件总线（EventBridge）事件发送权限 容器与中间件 事件总线 全局 EventBridge user 正常使用 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 仅用于管理事件总线（EventBridge）控制台的资源操作，但不包含退订等订单类相关操作 容器与中间件 事件总线 全局 EventBridge viewer 正常使用 管理员权限策略，拥有事件总线EventBridge所有资源的只读权限 事件总线（EventBridge）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCadmin 正常使用 微服务引擎微服务治理中心MSGC默认管理者策略，对应用拥有管理权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCuser 正常使用 微服务引擎微服务治理中心MSGC默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理微服务引擎微服务治理中心（MSGC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCviewer 正常使用 微服务引擎微服务治理中心MSGC默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWadmin 正常使用 微服务引擎云原生网关CGW默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWuser 正常使用 微服务引擎云原生网关CGW默认使用者策略，拥有实例（不可订购、退订等生命周期管理操作）的使用权限（适用于一类节点资源池） 仅用于管理微服务引擎云原生网关（CGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWviewer 正常使用 微服务引擎云原生网关CGW默认查看者策略，拥有实例的只读权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCadmin 正常使用 微服务引擎注册配置中心RCC默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCuser 正常使用 微服务引擎注册配置中心RCC默认使用者策略，拥有实例的使用权限，无订购、扩缩容、退订等管理权限（适用于一类节点资源池） 仅用于管理微服务引擎注册配置中心（RCC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCviewer 正常使用 微服务引擎注册配置中心RCC默认只读策略，拥有实例的所有查询权限，无编辑、删除、新增等管理权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）只读访问权限 容器与中间件 微服务引擎 全局 微服务治理委托授权 正常使用 微服务治理委托授权 用于CtyunAssumeRoleForvpcemsgc的服务委托授权策略 容器与中间件 微服务云应用平台 全局 CtyunAssumeRolePolicyForMSAP 正常使用 用于CtyunAssumeRoleForMSAP的服务委托授权策略 用于CtyunAssumeRoleForMSAP的服务委托授权策略 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP系统管理员 正常使用 微服务云应用平台MSAP系统管理员策略，拥有MSAP系统所有权限（适用于一类节点资源池） 微服务云应用平台（MSAP）全读写访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用管理员 正常使用 微服务云应用平台MSAP系统应用管理员策略，负责与应用相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用管理策略，包含环境、项目模块的只读访问权限，以及应用、应用实例、应用监控、服务治理模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用运维人员 正常使用 微服务云应用平台MSAP系统应用运维策略，负责与应用相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限，以及应用实例模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源管理员 正常使用 微服务云应用平台MSAP系统资源管理员策略，负责与环境、集群相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源管理策略，包含环境、项目的全读写管理权限以及应用、应用监控、服务治理的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源运维人员 正常使用 微服务云应用平台MSAP系统资源运维策略，负责与环境、集群相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAPviewer 正常使用 微服务云应用平台MSAP默认查看着策略，拥有只读权限（适用于一类节点资源池） 微服务云应用平台（MSAP）只读访问权限 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust 正常使用 服务网格在用户委托授权后，得到的日志服务权限。 用于CtyunCsmAdminTrust的服务委托授权策略 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust2 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrustVpcOper 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 全局 应用服务网格CSMadmin 正常使用 应用服务网格CSM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用服务网格（CSM）全读写访问权限 容器与中间件 应用服务网格 全局 应用服务网格CSMviewer 正常使用 应用服务网格CSM默认使用者策略，拥有实例的只读权限（适用于一类节点资源池） 应用服务网格（CSM）只读访问权限 容器与中间件 应用高可用 全局 应用高可用故障演练平台委托授权管理员权限 正常使用 应用高可用故障演练平台委托授权管理员权限 用于adtsChaosAdmin的服务委托授权策略 容器与中间件 应用高可用 全局 应用高可用委托授权管理员权限 正常使用 应用高可用委托授权管理员策略 用于adtsadmin的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控授权事件总线策略 正常使用 应用性能监控服务在用户委托授权后，得到的事件总线服务权限 用于apmDeliverEventbrige的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控与vpce委托授权策略 正常使用 应用性能监控服务在用户委托授权后，得到的vpce服务权限。 用于apmVpceAdmintrust的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控APMadmin 正常使用 应用性能监控APM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用性能监控（APM）全读写访问权限 容器与中间件 应用性能监控 全局 应用性能监控APMuser 正常使用 应用性能监控APM默认使用者策略，拥有产品（不可订购、退订等管理操作）的使用权限（适用于一类节点资源池） 仅用于管理应用性能监控（APM）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 应用性能监控 全局 应用性能监控APMviewer 正常使用 应用性能监控APM默认查看着策略，拥有只读权限（适用于一类节点资源池） 应用性能监控（APM）只读访问权限 容器与中间件 云工作流 全局 CtyunCloudflowDefaultDelegateRolePolicy 正常使用 云工作流(Cloudflow)的默认服务委托角色策略 用于CtyunCloudflowDefaultDelegateRole的服务委托授权策略 容器与中间件 云工作流 全局 CtyunCloudflowInlineDelegateRolePolicy 正常使用 云工作流(CloudFlow)的内联委托角色策略 用于CtyunCloudflowInlineDelegateRole的服务委托授权策略 容器与中间件 云日志服务 全局 CtyunFcReadOnlyPolicy 正常使用 只读访问函数计算（FC）服务的权限 函数计算（FC）只读访问权限 容器与中间件 云日志服务 全局 云日志服务通用委托授权策略 计划下线 云日志服务在用户委托授权后，使用该策略调用第三方服务 云日志服务在用户委托授权后，使用该策略调用第三方服务 容器与中间件 云日志服务 全局 云日志服务与ecs委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ecs服务权限。 用于ltsEcsAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务与kafka委托授权策略 正常使用 云日志服务在用户委托授权后，得到的kafka服务权限。 用于ltsKafkaAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务LTSadmin 正常使用 云日志服务LTS默认管理员策略，拥有所有权限（适用于一类节点资源池） 云日志服务（LTS）全读写访问权限 容器与中间件 云日志服务 全局 云日志服务LTSviewer 正常使用 云日志服务LTS默认查看者策略，拥有日志数据的只读权限（适用于一类节点资源池） 云日志服务（LTS）只读访问权限 容器与中间件 云容器引擎 资源池 apmprometheus与it的委托授权策略 计划下线 apmprometheus服务在用户委托授权后，得到的获取it的aksk权限。 用于apmItAdmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 CCSE viewer 计划下线 作废，不可用 作废，不可用 容器与中间件 云容器引擎 全局 云容器引擎CCE admin 正常使用 云容器引擎ccse管理员策略，对容器所有资源拥有读写权限 云容器引擎（CCE）全读写访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE user 正常使用 云容器引擎ccse普通用户策略，除订单相关操作之外对其他资源拥有读写权限 仅用于管理云容器引擎（CCE）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云容器引擎 全局 云容器引擎CCE viewer 正常使用 云容器引擎ccse只读用户策略，对容器所有资源仅拥有只读权限 云容器引擎（CCE）只读访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE服务委托策略 正常使用 云容器引擎CCE服务委托专用策略 用于cceadmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 云容器引擎CCE资源委托策略 正常使用 云容器引擎CCE资源委托专用策略 用于ecsadmintrust、ebmadmintrust的资源委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEFulPolicy 正常使用 云应用引擎(CAE)的管理员权限 云应用引擎(CAE)全读写访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadOnlyPolicy 正常使用 云应用引擎(CAE)的只读访问权限 云应用引擎(CAE)只读访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadWritePolicy 正常使用 云应用引擎(CAE)的读写访问权限 仅用于管理云应用引擎(CAE)控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云应用引擎 全局 CtyunCAEServiceDefaultDelegateRolePolicy 正常使用 云应用引擎(CAE)的服务委托权限 用于CtyunCAEServiceDefaultDelegateRole的服务委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEServicelnlineDelegationRolePolicy 正常使用 云应用引擎(CAE)的内联委托权限 用于CtyunCAEServiceInlineDelegateRole的服务委托授权策略 容器与中间件 云原生网关 全局 云原生网关与日志委托授权策略 计划下线 云原生网关在用户委托授权后，得到的日志服务权限。 云原生网关在用户委托授权后，得到的日志服务权限。 容器与中间件 云原生网关 全局 云原生API网关AGWadmin 正常使用 云原生API网关（AGW）全读写访问权限 云原生API网关（AGW）全读写访问权限 容器与中间件 云原生网关 全局 云原生API网关AGWviewer 正常使用 云原生API网关（AGW）只读访问权限 云原生API网关（AGW）只读访问权限 容器与中间件 云原生API网关 全局 CtyunAssumeRolePolicyForAgw 正常使用 云原生网关在用户委托授权后，得到的日志、应用性能监控和ELB等服务权限。 用于CtyunAssumeRoleForAgw的服务委托授权策略 容器与中间件 云原生API网关 全局 CtyunCgwAdminTrust 正常使用 云原生网关在用户委托授权后，得到的日志和应用性能监控服务权限。 用于CtyunCgwAdminTrust的服务委托授权策略 容器与中间件 云原生API网关 全局 云原生API网关AGWuser 正常使用 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式关系型数据库 全局 CtyunDRDSFullAccess 正常使用 分布式关系型数据库（DRDS）默认管理员策略。仅对一类节点生效。 分布式关系型数据库（DRDS）全读写访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSReadOnlyAccess 正常使用 分布式关系型数据库（DRDS）默认查看者策略。仅对一类节点生效。 分布式关系型数据库（DRDS）只读访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSUserAccess 正常使用 分布式关系型数据库（DRDS）默认用户策略，仅对一类节点生效。 分布式关系型数据库（DRDS）默认用户策略，支持DRDS控制台可见的主要功能的使用，但对关联RDS、分组、对弹性IP、用户、角色、用户权限、schema、序列实际新增、修改或删除权限做了限制，仅对一类节点生效。 数据库 分布式缓存 全局 CtyunServicelnlineDelegationRolePolicyCache 正常使用 分布式缓存内联委托角色策略 用于dcsadmintrust的服务委托授权策略 数据库 分布式缓存服务 全局 分布式缓存Redis admin 正常使用 【分布式缓存服务Redis】管理用户策略，对实例资源拥有管理维护权限 分布式缓存服务Redis版全读写访问权限 数据库 分布式缓存服务 全局 分布式缓存Redis user 正常使用 【分布式缓存服务Redis】使用用户策略，对实例资源拥有应用使用权限 仅用于管理分布式缓存服务Redis版控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式缓存服务 全局 分布式缓存Redis viewer 正常使用 【分布式缓存服务Redis】只读用户策略，对实例资源仅拥有只读权限 分布式缓存服务Redis版只读访问权限 数据库 分布式融合数据库 全局 HTAPadmin 正常使用 分布式融合数据库HTAP产品管理员权限 分布式融合数据库（HTAP）全读写访问权限 数据库 分布式融合数据库 全局 HTAPuser 正常使用 分布式融合数据库HTAP产品普通用户权限 分布式融合数据库（HTAP）部分读写访问权限，支持实例用户密码修改、数据库创建、实例用户创建。 数据库 分布式融合数据库 全局 HTAPviewer 正常使用 分布式融合数据库HTAP产品只读用户权限 分布式融合数据库（HTAP）只读访问权限 数据库 关系数据库 全局 MySQLadmin 正常使用 自研关系数据库MySQL版 CTIAM 产品默认管理员策略 关系数据库MySQL版（MySQL）全读写访问权限 数据库 关系数据库 全局 MySQLreviewer 正常使用 自研关系数据库MySQL版 CTIAM 产品默认 浏览者 策略 关系数据库MySQL版（MySQL）只读访问权限 数据库 关系数据库 全局 MySQLuser 正常使用 自研关系数据库MySQL版 CTIAM 产品默认使用者 策略 关系数据库MySQL版（MySQL）该权限禁止用户做修改密码、重启实例、删除数据库等高权限动作，但允许用户进行其他基础操作； 数据库 关系数据库 全局 PostgreSQL只读用户 正常使用 PostgreSQL只读用户，仅支持查看实例等信息，不支持操作与修改 关系数据库PostgreSQL版（RDS POSTGRESQL）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 全局 PostgreSQL普通用户 正常使用 PostgreSQL普通用户，支持部分常规实例操作权限及实例查看权限 关系数据库PostgreSQL版（RDS POSTGRESQL）部分读写访问权限，支持操作、查看已有实例。 数据库 关系数据库 全局 PostgreSQL管理员 正常使用 PostgreSQL管理员，拥有租户下全部权限 关系数据库PostgreSQL版（RDS POSTGRESQL）全读写访问权限 数据库 关系数据库 全局 RDS2 admin 正常使用 超级管理员 关系数据库MySQL版（RDS MySQL）管理员策略。该策略拥有租户下全部权限。 数据库 关系数据库 全局 RDS2 user 正常使用 普通管理员 关系数据库MySQL版（RDS MySQL）普通用户策略。该策略允许您操作、查看已有实例。 数据库 关系数据库 全局 RDS2 viewer 正常使用 只读管理员 关系数据库MySQL版（RDS MySQL）只读用户策略。该策略仅支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 资源池 SQLServer admin 正常使用 SQLServer admin系统策略 关系数据库SQL Server版（RDS SQL Server）全读写访问权限 数据库 关系数据库 资源池 SQLServer viewer 正常使用 SQLServer viewer系统策略 关系数据库SQL Server版（RDS SQL Server）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 数据传输服务 全局 DTSadmin 正常使用 DTS admin系统策略 数据传输服务（DTS）全读写访问权限 数据库 数据传输服务 全局 DTSuser 正常使用 DTS user系统策略 数据传输服务（DTS）部分读写访问权限，不包含获取分布式数据库分片信息、释放任务操作 数据库 数据传输服务 全局 DTSviewer 正常使用 DTS viewer系统策略 数据传输服务（DTS）只读访问权限 数据库 数据管理服务 全局 DMSadmin 正常使用 DMSadmin系统策略 数据管理服务（DMS）全读写访问权限。 数据库 数据库审计 全局 数据库审计安全员策略 正常使用 数据库审计安全员策略 该策略是用于数据库审计（DBA）安全管理的权限，包含配置数据库与规则、查看各类告警报告的权限 数据库 数据库审计 全局 数据库审计审计员策略 正常使用 数据库审计审计员策略 该策略是用于数据库审计（DBA）审计管理的权限，包含查看其他用户的操作日志、管理审计的权限 数据库 数据库审计 全局 数据库审计系统管理员策略 正常使用 数据库审计系统管理员策略 该策略是用于数据库审计（DBA）系统管理的权限，包含系统权限的配置和维护 数据库 数据库审计 全局 数据库审计admin策略 正常使用 数据库审计admin策略 数据库审计（DBA）全读写访问权限 数据库 文档数据库 全局 dds admin 正常使用 文档数据库服务DDS CTIAM 产品默认管理员策略 文档数据库服务（DDS）全读写访问权限 数据库 文档数据库 全局 dds user 正常使用 文档数据库服务DDS CTIAM 产品默认使用者 策略 文档数据库服务（DDS）部分读写访问权限，支持查看实例等信息，不支持禁止用户修改密码、重启实例、删除账户。 数据库 文档数据库 全局 dds viewer 正常使用 文档数据库服务DDS CTIAM 产品默认 浏览者 策略 文档数据库服务（DDS）只读访问权限 数据库 云数据库 资源池 clickhouse admin 正常使用 clickhouse admin 云数据库ClickHouse全读写访问权限 数据库 云数据库 资源池 clickhouse user 正常使用 clickhouse user 仅用于云数据库ClickHouse控制台的资源操作，但不包含创建账号、更新用户权限、重置用户密码、删除用户账号、解绑用户账号权限 数据库 云数据库 资源池 clickhouse viewer 正常使用 clickhouse viewer 云数据库ClickHouse只读访问权限 大数据 datawings 全局 datawings admin 计划下线 datawings主账号权限 datawings主账号权限 大数据 datawings 全局 datawings user 计划下线 datawings普通用户权限，仅可查询资源组，不可续订 datawings普通用户权限，仅可查询资源组，不可续订 大数据 翼MapReduce 全局 EMRLogDeliveryAccess 正常使用 MapReduce服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 大数据 翼MapReduce 全局 翼MapReduce 管理员 正常使用 具备翼MapReduce的用户管理权限 翼MapReduce读写访问权限，适用于翼MR控制台，可进行IAM同步、新建角色、编辑角色、删除角色、删除集群操作 大数据 翼MapReduce 全局 翼MapReduce 用户 正常使用 具备翼MapReduce的普通用户权限 翼MapReduce只读访问权限 大数据 云搜索服务 全局 csx admin 正常使用 云搜索服务一类节点管理者权限 云搜索服务（CSX）全读写访问权限 大数据 云搜索服务 全局 csx user 正常使用 云搜索服务一类节点使用者权限 云搜索服务（CSX）只读访问权限 大数据 云搜索服务 全局 OpenSearchLogDeliveryAccess 正常使用 云搜索服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 安全及管理 web应用防火墙 全局 ctwaf admin 正常使用 ctwaf admin策略 ctwaf admin策略 安全及管理 web应用防火墙 全局 ctwaf viewer 正常使用 ctwaf viewer策略 ctwaf viewer策略 安全及管理 安全体检 全局 安全体检查看者viewer 正常使用 安全体检（NSC）的只读权限 安全体检（NSC）只读访问权限 安全及管理 安全体检 全局 安全体检管理者admin 正常使用 安全体检（NSC）的全部权限 安全体检（NSC）全读写访问权限 安全及管理 安全专区 资源池 dszAudAdmin 正常使用 审计管理员 该策略是用于数据安全专区（DSZ）审计管理的权限，包含系统操作审计的查看与管理权限 安全及管理 安全专区 全局 数据安全专区订单业务员 正常使用 支持数据安全专区购买、续订、退订、升配、降配权限 支持数据安全专区购买、续订、退订、升配、降配权限 安全及管理 服务器安全卫士 全局 ctcsscn admin 正常使用 服务器安全卫士(admin)权限 服务器安全卫士（CTCSS）全局读写权限 安全及管理 服务器安全卫士 全局 ctcsscn viewer 正常使用 服务器安全卫士(viewer)权限 服务器安全卫士（CTCSS）只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额查看权限 正常使用 服务器安全卫士配额查看权限 服务器安全卫士（CTCSS）配额管理只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额购买续订退订升配权限 正常使用 服务器安全卫士配额购买续订退订升配权限 该策略用于服务器安全卫士（CTCSS）订购、续订、退订、变配操作权限 安全及管理 服务器安全卫士 全局 服务器安全卫士委托授权策略 正常使用 服务器安全卫士委托授权策略 服务器安全卫士（CTCSS）风险助手全读写权限 安全及管理 密钥管理 全局 kms admin 正常使用 kms admin 密钥管理（KMS）全局读写访问权限 安全及管理 密钥管理 全局 kms viewer 正常使用 kms viewer 密钥管理（KMS）只读访问权限 安全及管理 云堡垒机 全局 ctcbh admin 正常使用 云堡垒机(原生版)管理员策略 云堡垒机（CBH）全读写访问权限 安全及管理 云堡垒机 全局 ctcbh viewer 正常使用 云堡垒机(原生版)查看策略 云堡垒机（CBH）只读访问权限 安全及管理 云等保专区 全局 云等保安全体检 正常使用 用于云等保专区 安全体检 权限控制 云等保专区（CTYDB)安全体检全读写访问权限 安全及管理 云等保专区 全局 云等保堡垒机 正常使用 用于云等保专区 堡垒机 权限控制 云等保专区（CTYDB)堡垒机全读写访问权限 安全及管理 云等保专区 全局 云等保风险助手 正常使用 用于云等保专区 风险助手 权限控制 云等保专区（CTYDB)风险助手全读写访问权限 安全及管理 云等保专区 全局 云等保漏洞扫描 正常使用 用于云等保专区 漏洞扫描 权限控制 云等保专区（CTYDB)漏洞扫描全读写访问权限 安全及管理 云等保专区 全局 云等保日志审计 正常使用 用于云等保专区 日志审计 权限控制 云等保专区（CTYDB)日志审计全读写访问权限 安全及管理 云等保专区 全局 云等保商用管理员 正常使用 用于云等保专区 管理员 所有权限控制 云等保专区（CTYDB)全读写访问权限，同时包含资源下单权限 安全及管理 云等保专区 全局 云等保数据库审计 正常使用 用于云等保专区 数据库审计 权限控制 云等保专区（CTYDB)数据库审计全读写访问权限 安全及管理 云等保专区 全局 云等保下一代防火墙 正常使用 用于云等保专区 下一代防火墙 权限控制 云等保专区（CTYDB)下一代防火墙全读写访问权限 安全及管理 云等保专区 全局 云等保业务管理员 正常使用 用于云等保专区 业务管理员 权限控制 仅用于管理云等保专区（CTYDB）控制台的资源操作，但不包含新购、续订、变配、退订相关操作 安全及管理 云等保专区 全局 云等保云安全中心 正常使用 用于云等保专区 云安全中心 权限控制 云等保专区（CTYDB)云安全中心全读写访问权限 安全及管理 云等保专区 全局 云等保主机安全 正常使用 用于云等保专区 主机安全 权限控制 云等保专区（CTYDB)主机安全全读写访问权限 安全及管理 云等保专区 全局 云等保WEB应用防火墙 正常使用 用于云等保专区 WEB应用防火墙 权限控制 云等保专区（CTYDB)Web应用防火墙全读写访问权限 安全及管理 云防火墙 全局 CFW admin 正常使用 云防火墙(admin)权限 云防火墙（CFW）全读写访问权限 安全及管理 云防火墙 全局 CFW viewer 正常使用 云防火墙(viewer)权限 云防火墙（CFW）只读访问权限 安全及管理 云防火墙 全局 CFW订购 正常使用 cfw订购策略 仅用于云防火墙（CFW）订购、续订、退订、升配操作权限。 安全及管理 云监控 全局 cm admin 正常使用 云监控服务管理员权限 云监控服务（CM）全读写访问权限 安全及管理 云监控 全局 cm viewer 正常使用 云监控服务观察者权限 云监控服务（CM）只读访问的基础权限.仅可查看监控资源（包括：监控面板、资源分组、站点监控、告警服务等） 安全及管理 云监控 全局 云监控查看者（viewer） 正常使用 云监控服务（CM）只读访问权限 云监控服务（CM）只读访问权限 安全及管理 云监控 全局 云监控管理者(admin) 正常使用 云监控服务（CM）全读写访问权限 云监控服务（CM）全读写访问权限 安全及管理 云密评专区 全局 云密评专区管理者 正常使用 云密评专区管理者策略 云密评专区（CTCSZ）全读写访问权限 安全及管理 云审计 全局 cloudauditadmin 正常使用 云审计管理员 云审计（CLOUDAUDIT）全读写访问权限 安全及管理 云审计 全局 cloudauditauditor 正常使用 云审计（CLOUDAUDIT）只读访问权限 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 cloudauditviewer 正常使用 云审计普通用户策略 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 lasadmin 正常使用 日志审计（LAS）全读写访问权限 日志审计（LAS）全读写访问权限 安全及管理 云审计 全局 lasbusiness 正常使用 日志审计 业务管理员 权限 该策略是用于日志审计（LAS）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全及管理 云审计 全局 数据库审计业务管理员策略 正常使用 数据库审计业务管理员策略 该策略是用于数据库审计（DBA）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全与管理 web应用防火墙 全局 ctwaf monitor 正常使用 ctwaf运营人员策略 ctwaf运营人员策略 安全与管理 故障演练 全局 CtyunAssumeRolePolicyForADTSChaos 正常使用 故障演练服务管理员权限 故障演练服务管理员权限 安全与管理 故障演练 全局 演练观察员 正常使用 拥有故障演练服务查看权限 拥有故障演练服务查看权限 安全与管理 故障演练 全局 演练管理员 正常使用 拥有故障演练服务演练任务管理权限 拥有故障演练服务演练任务管理权限 安全与管理 故障演练 全局 演练系统管理员 正常使用 拥有故障演练服务所有功能读写权限 拥有故障演练服务所有功能读写权限 安全与管理 日志审计 全局 lasaudit 正常使用 审计管理员 该策略是用于日志审计（LAS）审计管理的权限，包含首页，资产管理，日志审计，风险分析事件策略、报表管理，操作日志的菜单权限 安全与管理 日志审计 全局 lassecurity 正常使用 安全管理员 该策略是用于日志审计（LAS）安全管理的权限，包含首页，资产管理，日志审计，风险分析，风险处置的菜单权限 安全与管理 数据安全专区 资源池 dszApproveAdmin 正常使用 审批管理员 该策略是用于数据安全专区（DSZ）审批管理的权限，包含任务查询与审核权限 安全与管理 数据安全专区 资源池 dszAuthAdmin 正常使用 权限管理员 该策略是用于数据安全专区（DSZ）权限管理的权限，包含权限增删改查权限等操作 安全与管理 数据安全专区 资源池 dszSecAdmin 正常使用 安全管理员 该策略是用于数据安全专区（DSZ）安全管理的权限，包含任务管理、资源管理、数据源管理等权限 安全与管理 数据安全专区 资源池 dszSysAdmin 正常使用 系统管理员 该策略是用于数据安全专区（DSZ）系统管理的权限，包含安全设置、用户管理、系统管理、插件管理等权限 安全与管理 云等保专区 全局 云等保数据分类分级 正常使用 云等保专区（CTYDB)数据分类分级读写访问权限 云等保专区（CTYDB)数据分类分级读写访问权限 安全与管理 云等保专区 全局 云等保数据脱敏与水印 正常使用 云等保专区（CTYDB)数据脱敏与水印读写访问权限 云等保专区（CTYDB)数据脱敏与水印读写访问权限 安全与管理 云密评专区 全局 云密评专区查看者 正常使用 云密评专区查看者策略 云密评专区（CTCSZ）只读访问权限 安全与管理 云日志服务 全局 云日志服务与ebm委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ebm服务权限。 用于ltsEbmAdmintrust的服务委托授权策略 安全与管理 智算安全专区 资源池 aisec admin 正常使用 本策略定义了智算安全专区的管理员权限（全部权限） 本策略定义了智算安全专区的管理员权限（全部权限） 安全与管理 智算安全专区 资源池 aisec user 正常使用 本策略定义了智算安全专区的使用者权限（普通操作） 本策略定义了智算安全专区的使用者权限（普通操作） 安全与管理 智算安全专区 资源池 aisec viewer 正常使用 本策略定义了智算安全专区的查看者权限（可读访问） 本策略定义了智算安全专区的查看者权限（可读访问） 企业应用 证书 全局 ccms admin 正常使用 ccms admin策略 证书管理服务(CCMS)全读写访问权限 企业应用 证书 全局 ccms viewer 正常使用 ccms viewer策略 证书管理服务(CCMS)只读访问权限 迁移与管理 资源编排 全局 ros admin 正常使用 ros管理者权限 资源编排（ROS）全读写访问权限 迁移与管理 资源编排 全局 ros no execute 正常使用 排除 资源栈/执行计划部署+资源栈删除+取消部署权限 资源编排（ROS）部分读写访问权限，不包含资源栈/执行计划部署、资源栈删除、取消部署权限 迁移与管理 资源编排 全局 ros viewer 正常使用 ros观察者权限 资源编排（ROS）只读访问权限 视频 AOne 全局 aonemeeting console admin 正常使用 AOne会议控制台管理员权限 AOne会议控制台全读写访问权限 视频 AOne 全局 aonemeeting console viewer 正常使用 AOne会议控制台观察者权限 AOne会议控制台只读访问权限 视频 媒体存储 全局 媒体存储产品侧授权 正常使用 媒体存储产品侧授权 媒体存储（CTXStor）产品主子账号功能的虚拟策略。配置本策略则开启媒体存储主子账号功能，删除本策略则关闭主子账号功能。 视频 视频直播 全局 ctlvdn admin 正常使用 直播控制台管理者权限 直播控制台全读写访问权限，涵盖视频直播域名添加、业务配置、运维、查询及子账号管理全部操作能力 视频 视频直播 全局 ctlvdn viewer 正常使用 直播控制台观察者权限 直播控制台只读权限，可浏览查询视频直播业务数据与配置状态，无任何编辑修改操作权限 视频 云点播 全局 云点播产品侧授权 正常使用 云点播产品侧授权 云点播（CTXVOD）产品主子账号功能的虚拟策略。配置本策略则开启云点播主子账号功能，删除本策略则关闭主子账号功能 其他 标签 全局 CtyunLABELFullAccess 正常使用 管理标签（LABEL）的全部权限 标签服务（LABEL）全读写访问权限，适用于资源标签管理，可创建、编辑、删除标签和解绑/绑定资源 其他 标签 全局 CtyunLABELReadOnlyAccess 正常使用 只读访问标签（LABEL）的权限 标签服务（LABEL）只读访问权限，适用于资源标签查询，可查看标签列表、标签详情和标签绑定资源信息 其他 订单 全局 CtyunOrderAdmin 正常使用 天翼云订单类全量操作权限（包含一类、二类资源池节点） 费用中心全读写访问权限，适用于费用中心订单管理和资源列表查询，可管理我的订单、待支付订单、续订订单、退订订单，以及查看资源视图的资源列表 其他 订单 全局 CtyunOrderViewer 正常使用 天翼云订单类查询权限（包含一类、二类资源池节点） 费用中心只读访问权限，适用于费用中心订单和云资源列表，可查看我的订单、待支付订单、续订订单、退订订单，以及资源视图的资源列表 其他 活动与券 全局 mkt admin 正常使用 优惠券 管理者权限 卡券管理全读写访问权限 其他 客服工单 全局 工单及客户支持计划管理策略 正常使用 客服系统可读可写 工单及客户支持计划可读可写 其他 客服工单 全局 工单及客户支持计划只读策略 正常使用 客服系统只允许查看角色 工单及客户支持计划只读 其他 企业组织 全局 CtyunOrgAdmin 正常使用 天翼云企业组织信息管理权限 企业中心全读写访问权限，可查看并操作组织管理、组织策略管理、财务管理、资源管理相关功能 其他 企业组织 全局 CtyunOrgViewer 正常使用 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 其他 通用 全局 cust admin 正常使用 云网账号管理员权限，包含对合同、标签、收货地址的管理权限 天翼云账号部分读写访问权限，适用于合同管理、账号中心地址管理、标签管理 其他 通用 资源池 Iaas产品无企业项目属性 正常使用 无企业项目属性资源Iaas（权限集合） 无企业项目属性的Iaas基础资源管理权限，包含了不支持企业项目的IaaS资源管理权限，用于管理镜像、弹性负载均衡、VPC网络、安全组、弹性云服务器、弹性公网IP、文件存储等资源的查看及管理 其他 统一身份认证 全局 ctiam admin 正常使用 统一身份认证管理员权限 统一身份认证服务（IAM）全读写访问权限 其他 统一身份认证 全局 ctiam viewer 正常使用 统一身份认证观察者权限 统一身份认证服务（IAM）只读访问权限 其他 消息管理 全局 msg admin 正常使用 消息中心管理员权限 消息中心全读写访问权限 其他 业务 全局 CtyunBssAdmin 正常使用 天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点） 费用中心全读写权限，适用于费用中心订单管理、合同管理、客户信息管理、和资源列表查询，以及资源标签的查询、绑定和解绑 其他 云市场 全局 CtyunMarketFullAccess 正常使用 云市场管理员权限 云市场（Market）全读写访问权限 其他 云市场 全局 CtyunMarketReadOnlyAccess 正常使用 云市场只读权限 云市场（Market）只读访问权限 其他 云通信 全局 SMS admin 正常使用 拥有云通信主账号的所有权限 云通信（SMS）全读写访问权限 其他 云通信 全局 SMS viewer 正常使用 拥有云通信控制台的只读权限 云通信（SMS）控制台只读访问权限 其他 账务 全局 CtyunAcctAdmin 正常使用 天翼云账务类（如成本、账单、发票等）全量操作权限（包含一类、二类资源池节点） 费用中心账务类读写权限，适用于费用中心资金管理、账单管理、发票管理、成本管理，可操作余额充值、提现、账单查询、发票申请等 专属云与混合云 专属云 资源池 ctdss admin 正常使用 ctdss admin 专属云（存储独享型）（DSS）全读写访问权限 专属云与混合云 专属云 资源池 ctdss viewer 正常使用 ctdss viewer 专属云（存储独享型）（DSS）只读访问权限

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

删除组件 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”页。 3、单击“组件列表”页签： 单个删除 选择待删除的组件，在“操作”列单击“删除”，在弹出的提示框单击“确定”。 批量删除 勾选待删除的多个组件，单击“批量删除组件”，在弹出的提示框单击“确定”。 创建应用组件流水线 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“组件列表”页签，单击组件名称，进入组件“概览”页。 4、选择“流水线 > 创建流水线”，创建流水线。请参考应用组件流水线。 不支持为运行时为Docker的组件创建流水线。 查看应用组件构建 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“组件列表”页签，单击组件名称，进入组件“概览”页。 4、单击“构建”页签，可以查看应用组件构建工程的状态，详情请参考应用组件构建。 维护组件实例 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“环境视图”页签下，选择“环境”： 可以查看各个环境下该应用组件部署情况。 （可选）选择微服务类型的应用组件版本，单击“微服务管理”，进入微服务控制台进行服务治理。详情请参考服务治理。 选择应用组件版本，单击“运维管理”，可以进入组件实例“概览”页，查看组件实例详情。 选择应用组件版本，单击“操作”，可以选择进行组件升级、伸缩、事件查看、启动/停止、重启、回退、删除等运维操作。详情请参考应用运维。 勾选“全选”或者勾选对应的应用组件，单击“升级组件”，对组件进行版本号、软件包/镜像包的变更操作。

本章节介绍微服务引擎MSE的定义 产品定义 微服务引擎 MSE 面向业界主流开源微服务项目，提供注册配置中心、云原生网关、微服务治理能力，助力企业搭建微服务平台，实现微服务应用的快速开发和高可用运维。 MSE产品包含以下子产品：注册配置中心、微服务治理中心、云原生网关。您在构建自己的微服务体系时，既可单独使用某个子产品，也可搭配使用以便获得微服务生态的最佳实践。 子产品 描述 注册配置中心 面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能。 云原生网关 将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 微服务治理中心 兼容SpringCloud、Dubbo等开源微服务框架，支持无侵入的接入应用，提供标签路由、灰度发布、无损上下线、服务降级、服务鉴权等服务治理的能力。 产品优势 开源增强 100% 兼容Spring Cloud、Dubbo微服务开源项目，无缝对接K8s，无厂商绑定，并在稳定性、性能、可运维性上提供更强的能力。 低成本 节省自建微服务引擎的人力成本，集成流量网关和微服务网关功能，降低50%资源开销，缩短请求时间，降低运维复杂度。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

本章节介绍如何通过镜像部署微服务应用到容器 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 本文介绍如何通过镜像部署微服务应用到容器。 通过镜像部署微服务应用到容器 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 3. 您已订购一个nacos注册中心实例 创建环境和导入资源 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。环境创建好后，将云容器引擎和nacos注册中心导入到环境中。 创建项目和应用 在左侧导航栏，选择应用列表。在应用列表点击新增项目。展开新增完成的项目，在应用管理下创建应用，技术栈选择 SpringCloud。 项目关联环境 展开项目，在环境管理下将步骤1创建的环境关联上。 创建容器应用实例并部署 基本信息 项目/应用：步骤2创建的应用 应用实例名称：无需修改，使用默认名称即可 技术栈版本：选择1.0.0j180jar 接入方式：选择镜像 应用实例版本：无需修改，使用默认版本即可 企业项目：选择default 部署配置 选择集群：选择步骤1导入到环境中的云容器引擎 镜像类型：选择Demo镜像（支持自购镜像仓库、Demo镜像和MSAP仓库镜像） 选择镜像：选择springcloudprovidernacos.jar镜像使用1.0.0版本 完成以上信息填写后，点击下一步进入到预览页面，确认信息无误后，点击创建按钮，完成应用实例创建。 应用实例创建完成后，直接点击查看实例详情按钮，到实例详情页面。点击上方发布应用实例按钮，进入到应用发布界面。点击右下角发布按钮，进入到发布单详情界面。等待发布单完成初始化后再点击发布按钮进行应用发布。应用开始发布后，可点击应用实例发布单，查看应用发布具体信息。

放行策略配置完成,需针对业务进行访问控制隔离配置,首先配置出站SNAT策略。 操作方法 1.打开菜单栏，【策略→NAT→源NAT】，新建策略。 按照访问需求配置出站策略： 源地址：需要访问互联网的单个IP或地址段； 目的地址：若无限制则是any； 出流量：需要选择防火墙有弹性IP的网络接口。 2.配置会话日志记录功能。 3.确定，配置完成。

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱