策略 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询策略列表 GET /v3/{project_id}/policies cbr:policies:list √ √ 创建策略 POST /v3/{project_id}/policies cbr:policies:create √ √ 查询指定策略 GET /v3/{project_id}/policies/{policy_id} cbr:policies:get √ √ 更新策略 PUT /v3/{project_id}/policies/{policy_id} cbr:policies:update √ √ 删除策略 DELETE /v3/{project_id}/policies/{policy_id} cbr:policies:delete √ √

标签 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询存储库资源实例 POST /v3/{project_id}/vault/resource_instances/action cbr:vaults:listResourceInstances √ √ 批量添加或删除存储库资源标签 POST /v3/{project_id}/vault/{vault_id}/tags/action cbr:vaults:bulkCreateOrDeleteTags √ √ 添加存储库资源标签 POST /v3/{project_id}/vault/{vault_id}/tags cbr:vaults:setTags √ √ 删除存储库资源标签 DELETE /v3/{project_id}/vault/{vault_id}/tags/{key} cbr:vaults:deleteTags √ √ 查询存储库资源标签 GET /v3/{project_id}/vault/{vault_id}/tags cbr:vaults:getTags √ √ 查询存储库项目标签 GET /v3/{project_id}/vault/tags cbr:vaults:listProjectTags √ √

还原点 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 同步还原点 POST /v3/{project_id}/checkpoints/sync cbr:vaults:sync - √ √ 复制备份还原点 POST /v3/{project_id}/checkpoints/replicate cbr:vaults:replicate - √ √ 创建备份还原点 POST /v3/{project_id}/checkpoints cbr:vaults:backup ecs:cloudServers:list evs:volumes:list √ √

备份 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询备份列表 GET /v3/{project_id}/backups cbr:backups:list - √ √ 查询指定备份 GET /v3/{project_id}/backups/{backup_id} cbr:backups:get - √ √ 删除备份 DELETE /v3/{project_id}/backups/{backup_id} cbr:backups:delete - √ √ 同步备份 POST /v3/{project_id}/backups/sync cbr:backups:sync - √ √ 恢复备份 POST /v3/{project_id}/backups/{backup_id}/restore cbr:backups:restore ecs:cloudServers:list evs:volumes:list √ √ 复制备份 POST /v3/{project_id}/backups/{backup_id}/replicate cbr:backups:replicate - √ √

备份共享 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建备份成员 POST /v3/{project_id}/backups/{backup_id}/members cbr:member:create √ √ 更新备份成员状态 PUT /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:update √ √ 查询指定备份成员 GET /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:get √ √ 查询备份成员列表 GET /v3/{project_id}/backups/{backup_id}/members cbr:member:list √ √ 删除备份成员 DELETE /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:delete √ √

存储库 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 设置存储库策略 POST /v3/{project_id}/vaults/{vault_id}/associatepolicy cbr:vaults:associatePolicy - √ √ 查询指定存储 GET /v3/{project_id}/vaults/{vault_id} cbr:vaults:get - √ √ 修改存储库 PUT /v3/{project_id}/vaults/{vault_id} cbr:vaults:update - √ √ 删除存储库 DELETE /v3/{project_id}/vaults/{vault_id} cbr:vaults:delete - √ √ 移除资源 POST /v3/{project_id}/vaults/{vault_id}/removeresources cbr:vaults:removeResources - √ √ 添加资源 POST /v3/{project_id}/vaults/{vault_id}/addresources cbr:vaults:addResources ecs:cloudServers:list evs:volumes:list √ √ 查询存储库列表 GET /v3/{project_id}/vaults cbr:vaults:list - √ √ 创建存储库 POST /v3/{project_id}/vaults cbr:vaults:create ecs:cloudServers:list evs:volumes:list √ √ 查询其他区域存储库列表 GET /v3/{project_id}/external_vaults cbr:vaults:listExternalVaults cbr:vaults:listVaults √ √ 解除存储库策略 POST /v3/{project_id}/vaults/{vault_id}/dissociatepolicy cbr:vaults:dissociatePolicy - √ √ 迁移资源 POST /v3/{project_id}/vaults/{vault_id}/migrateresources cbr:vaults:migrateResources cbr:vaults:addResources √ √

任务 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询任务列表 GET /v3/{project_id}/operation-logs cbr:tasks:list √ √ 查询单个任务 GET /v3/{project_id}/operation-logs/{operation_log_id} cbr:tasks:get √ √

可保护性 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询可保护资源 GET /v3/{project_id}/protectables/{protectable_type}/instances cbr:vaults:listProtectables ecs:cloudServers:list evs:volumes:list √ √ 查询指定可保护资源 GET /v3/{project_id}/protectables/{protectable_type}/instances/{instance_id} cbr:vaults:getProtectables ecs:cloudServers:list evs:volumes:list √ √ 查询agent状态 POST /v3/{project_id}/agent/check cbr:backups:checkAgent ecs:cloudServers:list √ √ 查询复制能力 GET /v3/{project_id}/replication-capabilities cbr:backups:queryReplicationCapability - √ √

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效，目前CPH暂不支持企业项目授权。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“×”表示暂不支持。 CPH的支持自定义策略授权项如表1所示。 表1 CPH自定义策略授权项 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建云手机服务器 POST /v2/{project_id}/cloud-phone/servers cph:servers:create √ √ 切换云手机服务器 POST /v2/{project_id}/cloud-phone/servers/{server_id}/change cph:servers:change √ √ 查询云手机服务器列表 GET /v1/{project_id}/cloud-phone/servers cph:servers:list √ √ 查询云手机服务器详情 GET /v1/{project_id}/cloud-phone/servers/{server_id} cph:servers:get √ √ 查询云手机服务器规格列表 GET /v1/{project_id}/cloud-phone/server-models cph:system:listServerTypes √ × 修改云手机服务器名称 PUT /v1/{project_id}/cloud-phone/servers/{server_id} cph:servers:updateName √ √ 变更云手机服务器规格 POST /v1/{project_id}/cloud-phone/servers/change-server-model cph:servers:changeType √ √ 重启云手机服务器 POST /v1/{project_id}/cloud-phone/servers/batch-restart cph:servers:restart √ √ 推送共享存储文件 POST /v1/{project_id}/cloud-phone/phones/share-files cph:servers:pushShareFiles √ √ 查询共享存储文件 GET /v1/{project_id}/cloud-phone/servers/share-files cph:servers:getShareFiles √ √ 删除共享存储文件 POST /v1/{project_id}/cloud-phone/phones/share-files cph:servers:deleteShareFiles √ √ 推送共享应用 POST /v1/{project_id}/cloud-phone/phones/share-apps cph:servers:pushShareApps √ √ 删除共享应用 DELETE /v1/{project_id}/cloud-phone/phones/share-apps cph:servers:deleteShareApps √ √ 更改密钥对 PUT /v1/{project_id}/cloud-phone/servers/open-access cph:servers:updateKeypair √ √ 查询编码服务 GET /v1/{project_id}/cloud-phone/encode-servers cph:servers:listEncodeServers √ √ 重启编码服务 POST /v1/{project_id}/cloud-phone/encode-servers/batch-restart cph:servers:restartEncodeServers √ √ 查询带宽信息 GET /v1/{project_id}/cloud-phone/bandwidths cph:bandwidths:list √ × 修改共享带宽 PUT /v1/{project_id}/cloud-phone/bandwidths/{band_width_id} cph:bandwidths:put √ × 查询云手机列表 GET /v1/{project_id}/cloud-phone/phones cph:phones:list √ √ 查询云手机详情 GET /v1/{project_id}/cloud-phone/phones/{phone_id} cph:phones:get √ √ 查询云手机规格列表 GET /v1/{project_id}/cloud-phone/phone-models cph:system:listPhoneSpecifications √ × 重置云手机实例 POST /v1/{project_id}/cloud-phone/phones/batch-reset cph:phones:reset √ √ 重启云手机实例 POST /v1/{project_id}/cloud-phone/phones/batch-restart cph:phones:restart √ √ 关闭云手机实例 POST /v1/{project_id}/cloud-phone/phones/batch-stop cph:phones:stop √ √ 修改云手机名称 PUT /v1/{project_id}/cloud-phone/phones/{phone_id} cph:phones:updateName √ √ 更新云手机属性 POST /v1/{project_id}/cloud-phone/phones/batch-update-property cph:phones:updateProperty √ √ 导出云手机数据 POST /v1/{project_id}/cloud-phone/phones/batch-storage cph:phones:storage √ √ 恢复云手机数据 POST /v1/{project_id}/cloud-phone/phones/batch-restore cph:phones:restore √ √ 云手机流量导流 POST /v1/{project_id}/cloud-phone/phones-traffic cph:phones:createTrafficRoute √ √ 云手机磁盘扩容 POST /v1/{project_id}/cloud-phone/phones/expand-volume cph:phones:expandVolume √ √ 获取云手机连接信息 POST /v1/{project_id}/cloud-phone/phones/batch-connection cph:phones:getConnections √ √ 异步执行adb shell命令 POST /v1/{project_id}/cloud-phone/phones/commands cph:phones:execCommands √ √ 同步执行adb shell命令 POST /v1/{project_id}/cloud-phone/phones/sync-commands cph:phones:execSyncCommands √ √ 查询任务执行状态 GET /v1/{project_id}/cloud-phone/jobs/{job_id} cph:jobs:get √ × 查询任务执行状态列表 GET /v1/{project_id}/cloud-phone/jobs cph:jobs:list √ × 批量添加标签 POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action cph:resource:tagResource √ √ 批量删除标签 POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action cph:resource:unTagResource √ √ 查询资源实例 POST /v1/{project_id}/{resource_type}/resource_instances/action cph:resource:listResourcesByTag √ √ 查询资源标签 GET /v1/{project_id}/{resource_type}/{resource_id}/tags cph:resource:listTagsForResource √ √ 查询项目标签 GET /v1/{project_id}/{resource_type}/tags cph:resource:listTags √ √ 获取手机镜像列表 GET /v1/{project_id}/cloud-phone/images cph:images:list √ × 删除手机镜像 DELETE /v1/{project_id}/cloud-phone/images/{image_id} cph:images:delete √ × 手机镜像共享 POST /v1/{project_id}/cloud-phone/images/{image_id}/members cph:images:addMembers √ × 获取手机镜像共享用户列表 GET /v1/{project_id}/cloud-phone/images/{image_id}/members cph:images:listMembers √ × 手机镜像取消共享 DELETE /v1/{project_id}/cloud-phone/images/{image_id}/members/{member_id} cph:images:deleteMembers √ × 获取可用区列表 GET /v1/{project_id}/cloud-phone/availability-zones cph:system:listServerTypesSoldOutStatus √ × 获取子网列表 GET /v1/{project_id}/cloud-phone/subnets cph:system:listSubnets √ × 查询对等连接配置 GET /v1/{project_id}/cloud-phone/peering-routes cph:system:listPeerings √ × 删除对等连接配置 DELETE /v1/{project_id}/cloud-phone/peering-routes cph:system:deletePeerings √ × 添加对等连接配置 POST /v1/{project_id}/cloud-phone/peering-routes cph:system:createPeerings √ × 导出云手机详情 GET /v1/{project_id}/cloud-phone/phones/phone-export cph:phones:exportDetails √ √ 创建委托 POST /v1/{project_id}/agencies cph:system:createAgencies √ × 检查委托 GET /v1/{project_id}/agencies cph:system:checkAgencies √ ×

安全组管理 权限 对应的API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 创建安全组(OpenStack原生) POST /v2.1/{project_id}/os-security-groups ecs:securityGroups:use vpc:securityGroups:get vpc:securityGroups:create vpc:securityGroups:update √ × × × 删除安全组(OpenStack原生) DELETE /v2.1/{project_id}/os-security-groups/{security_group_id} ecs:securityGroups:use vpc:securityGroups:get vpc:securityGroups:delete vpc:securityGroups:update √ × × × 查询安全组详细信息(OpenStack原生) GET /v2.1/{project_id}/os-security-groups/{security_group_id} ecs:securityGroups:use vpc:securityGroups:get √ × × × 查询安全组列表(OpenStack原生) GET /v2.1/{project_id}/os-security-groups ecs:securityGroups:use vpc:securityGroups:get √ × × × 创建安全组规则(OpenStack原生) POST /v2.1/{project_id}/os-security-group-rules ecs:securityGroups:use vpc:securityGroups:get vpc:securityGroups:update vpc:securityGroupRules:get vpc:securityGroupRules:create √ × × × 删除安全组规则(OpenStack原生) DELETE /v2.1/{project_id}/os-security-group-rules/{security_group_rule_id} ecs:securityGroups:use vpc:securityGroups:get vpc:securityGroups:update vpc:securityGroupRules:get vpc:securityGroupRules:delete √ × × × 更新安全组信息(OpenStack原生) PUT /v2.1/{project_id}/os-security-groups/{security_group_id} ecs:securityGroups:use vpc:securityGroups:get vpc:securityGroups:update √ × × × 查询指定云服务器安全组列表(OpenStack原生) GET /v2.1/{project_id}/servers/{server_id}/os-security-groups ecs:securityGroups:use vpc:securityGroups:get vpc:ports:get √ × × × 添加安全组（OpenStack原生） POST /v2.1/{project_id}/servers/{server_id}/action ecs:securityGroups:use ecs:servers:get ecs:servers:list ecs:serverVolumes:use ecs:diskConfigs:use ecs:serverKeypairs:get vpc:securityGroups:get vpc:securityGroups:create vpc:securityGroups:update vpc:securityGroupRules:get vpc:networks:get vpc:subnets:get vpc:routers:get vpc:ports:get vpc:ports:update √ × × × 移除安全组（OpenStack原生） POST /v2.1/{project_id}/servers/{server_id}/action ecs:securityGroups:use ecs:servers:get ecs:servers:list ecs:serverVolumes:use ecs:diskConfigs:use ecs:serverKeypairs:get vpc:securityGroups:get vpc:securityGroups:delete vpc:securityGroups:update vpc:securityGroupRules:get vpc:networks:get vpc:subnets:get vpc:routers:get vpc:ports:get vpc:ports:update √ × × × 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，请参考IAM与企业管理的区别。 ServiceStage的支持自定义策略授权项，请参考表1。 表1 ServiceStage授权项明细 权限 对应API接口 授权项 IAM项目 企业项目 创建应用 POST /v3/{project_id}/cas/applications servicestage:app:create √ √ 删除应用 DELETE /v3/{project_id}/cas/applications/{application_id} servicestage:app:delete √ √ 更新应用 PUT /v3/{project_id}/cas/applications/{application_id} servicestage:app:modify √ √ 查看应用列表 GET /v3/{project_id}/cas/applications servicestage:app:list √ √ 查询应用信息 GET /v3/{project_id}/cas/applications/{application_id} servicestage:app:get √ √ 修改工程 - servicestage:project:modify √ √ 创建工程 - servicestage:project:create √ √ 审批应用 - servicestage:app:approve √ √ 查看流水线列表 - servicestage:pipeline:list √ √ 修改构建 - servicestage:assembling:modify √ √ 审批流水线 - servicestage:pipeline:review √ √ 执行流水线 - servicestage:pipeline:execute √ √ 查看构建信息 - servicestage:project:get √ √ 删除构建 - servicestage:assembling:delete √ √ 删除流水线 - servicestage:pipeline:delete √ √ 删除工程 - servicestage:project:delete √ √ 修改流水线 - servicestage:pipeline:modify √ √ 创建构建 - servicestage:assembling:create √ √ 查看构建列表 - servicestage:assembling:list √ √ 查看构建信息 - servicestage:assembling:get √ √ 查看工程列表 - servicestage:project:list √ √ 查看流水线信息 - servicestage:pipeline:get √ √ 创建流水线 - servicestage:pipeline:create √ √

网卡管理 权限 对应的API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 云服务器网卡配置私有IP PUT /v1/{project_id}/cloudservers/nics/{nic_id} ecs:cloudServerNics:update - √ × × × 批量删除云服务器网卡 POST /v1/{project_id}/cloudservers/{server_id}/nics/delete ecs:cloudServerNics:delete - √ √ √ √ 批量添加云服务器网卡 POST /v1/{project_id}/cloudservers/{server_id}/nics ecs:cloudServers:addNics - √ √ √ √ 查询云服务器网卡信息 GET /v1/{project_id}/cloudservers/{server_id}/os-interface ecs:cloudServers:listServerInterfaces - √ √ √ √ 云服务器切换虚拟私有网络 POST /v1/{project_id}/cloudservers/{server_id}/changevpc ecs:cloudServers:changeVpc - √ √ √ √ 更新云服务器指定网卡属性 POST /v1/{project_id}/cloudservers/{server_id}/os-interface/{port_id}/change-network-interface ecs:cloudServers:changeNetworkInterface - √ √ √ √ 添加云服务器网卡（OpenStack原生） POST /v2.1/{project_id}/servers/{server_id}/os-interface ecs:serverInterfaces:use ecs:servers:get ecs:serverInterfaces:get vpc:networks:get vpc:networks:update vpc:subnets:get vpc:subnets:update vpc:ports:create vpc:ports:update vpc:ports:get vpc:networks:create vpc:subnets:create vpc:routers:get vpc:routers:update √ × × × 删除云服务器网卡（OpenStack原生） DELETE /v2.1/{project_id}/servers/{server_id}/os-interface/{id} ecs:serverInterfaces:use ecs:serverInterfaces:get ecs:servers:get vpc:networks:create vpc:subnets:create vpc:networks:get vpc:networks:update vpc:subnets:get vpc:subnets:update vpc:ports:delete vpc:ports:update vpc:ports:get vpc:routers:get vpc:routers:update √ × × × 查询云服务器网卡信息（OpenStack原生） GET /v2.1/{project_id}/servers/{server_id}/os-interface ecs:serverInterfaces:get vpc:ports:get √ × × × 查询指定云服务器网卡信息（OpenStack原生） GET /v2.1/{project_id}/servers/{server_id}/os-interface/{id} ecs:serverInterfaces:get vpc:ports:get √ × × × 父主题： 权限和授权项

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

标签管理 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询标签 GET /autoscaling-api/v1/{project_id}/{resource_type}/tags as:tags:list √ × 查询资源标签 GET /autoscaling-api/v1/{project_id}/{resource_type}/{resource_id}/tags as:tags:get √ × 更新或删除标签 POST /autoscaling-api/v1/{project_id}/{resource_type}/{resource_id}/tags/action as:tags:set √ × 查询资源实例 POST /autoscaling-api/v1/{project_id}/{resource_type}/resource_instances/action as:tagResources:list √ × 父主题： 权限和授权项

对象相关授权项 表1 对象相关授权项列表 权限 对应API接口 授权项（Action） IAM项目（Project） 企业项目（Enterprise Project） 可用作于PUT上传对象，POST上传对象，复制对象，追加写对象，初始化上传段任务，上传段，拷贝段，合并段 PUT上传 POST上传 复制对象 追加写对象 初始化上传段任务 上传段 合并段 obs:object:PutObject √ √ 获取对象内容和对象元数据 下载对象 获取对象元数据 obs:object:GetObject √ √ 获取指定版本对象内容和对象元数据 下载对象 获取对象元数据 obs:object:GetObjectVersion √ √ 单个删除和批量删除对象 删除对象 批量删除对象 obs:object:DeleteObject √ √ 单个删除和批量删除指定版本对象 删除对象 批量删除对象 obs:object:DeleteObjectVersion √ √ 恢复归档存储对象 恢复归档或深度归档存储对象 obs:object:RestoreObject √ √ 设置对象ACL 设置对象ACL obs:object:PutObjectAcl √ √ 设置指定版本对象ACL 设置对象ACL obs:object:PutObjectVersionAcl √ √ 获取对象ACL的相关信息 获取对象ACL obs:object:GetObjectAcl √ √ 获取指定版本对象ACL的相关信息 获取对象ACL obs:object:GetObjectVersionAcl √ √ 修改对象元数据 修改对象元数据 obs:object:ModifyObjectMetaData √ √ 列举已上传段 列举已上传未合并的段 obs:object:ListMultipartUploadParts √ √ 取消多段上传任务 取消多段上传任务 obs:object:AbortMultipartUpload √ √ 配置对象级WORM保护策略 配置对象级WORM保护策略 obs:object:PutObjectRetention √ √ 获取对象级WORM保护策略 获取对象元数据 obs:object:GetObjectRetention √ √ 父主题： 权限和授权项