支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 CBR的支持自定义策略授权项如下所示： 【示例】存储库，包含CBR所有存储库接口对应的授权项，如创建存储库、查询存储库列表、修改存储库、删除存储库、添加资源、移除资源等接口。 【示例】备份共享，包括CBR备份共享接口对应的授权项，如添加备份成员、获取备份成员列表、更新备份成员状态等接口。

存储池 权限 对应的API接口 授权项（Action） 依赖的授权项 企业项目 (Enterprise Project) 查询存储池列表 GET /v1/{domain_id}/storage-pools ies:storagePool:list - √ 查询存储池详情 GET /v1/{domain_id}/storage-pools/{id} ies:storagePool:get - √ 父主题： 权限和授权项

应用内部授权 OpenApi接口需要通过应用内部进行用户角色授权，API权限参见下表： API 拥有API的角色 查询搜索条件（不限连接器） 不限 搜索offer列表（不限连接器） 不限 查询offer详情（不限连接器） 不限 查询指定offer资源列表（不限连接器） 不限 查询指定连接器下的offer列表 数据查看者 数据操作者 查询指定offer资源列表(指定连接器) 数据查看者 数据操作者 上架offer 数据操作者 查询指定offer详情 数据查看者 数据操作者 我的订阅 数据查看者 数据操作者 订阅Offer 数据操作者 撤销订阅 数据操作者 订阅待审批列表 数据查看者 数据操作者 合约审批人 审批订阅请求 合约审批人 查询合约列表 数据查看者 数据操作者 查询合约详情 数据查看者 数据操作者 提交合约 数据提供方和数据消费方共同的连接器管理员 点对点生成合约 数据操作者 终止合约 数据操作者 查询接收的合约数据 数据查看者 数据操作者 归档接收的合约数据 数据操作者 合约资产使用控制策略执行 数据查看者 数据操作者 查询应用模板列表 数据查看者 数据操作者 新增应用 数据操作者 查看实例化应用列表 数据查看者 数据操作者 查询应用中用户绑定的资源列表 数据查看者 数据操作者 下载文件 数据操作者 资产使用次数统计 数据查看者 数据操作者 查询数据资产的审计日志列表 审计员 查询数据资产统计列表 数据查看者 数据操作者 实例添加客租户 数据操作者 查询用户实例列表 不限 移除空间成员 数据操作者 查询用户连接器列表 数据查看者 数据操作者 查询连接器列表 只有空间管理员能调用 列表查询指定租户的连接器详情 数据查看者 数据操作者 连接器转让 连接器拥有者 连接器收回 连接器创建者 查询连接器数据主权保护倡议 数据查看者 数据操作者 签署连接器数据主权保护倡议 数据操作者 查询指定连接器下的团队列表 数据查看者 数据操作者 添加连接器用户 连接器配置员 从连接器移除用户 连接器配置员 查询指定连接器的数据接收者列表 数据查看者 数据操作者 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 授权范围：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 对应API接口：自定义策略实际调用的API接口。 云监控 的支持自定义策略授权项如下所示： 表格中“√”表示支持，“×”表示暂不支持。 API版本号管理接口授权项说明 指标管理接口授权项说明 告警规则管理接口授权项说明 监控数据管理接口授权项说明 配额管理接口授权项说明 事件监控接口授权项说明

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 IEC支持自定义策略授权项如下所示： 【示例】边缘实例，包括IEC边缘实例操作接口对应的授权项，如查询边缘实例、更新边缘实例、删除边缘实例等接口。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 BMS服务支持的自定义策略授权项如下所示： 生命周期管理：包含裸金属服务器所有生命周期接口对应的授权项，例如：创建裸金属服务器、查询裸金属服务器详情等接口。 状态管理：包含裸金属服务器状态管理接口对应的授权项，例如：批量关闭、批量重启、批量启动裸金属服务器等。 密码管理：包含裸金属服务器密码相关接口对应的授权项，例如：查询裸金属服务器是否支持重置密码、重置裸金属服务器密码等接口。 规格查询：包含裸金属服务器规格相关接口对应的授权项，例如：查询裸金属服务器规格详情和扩展信息列表接口。 网卡管理：包含裸金属服务器网卡相关接口对应的授权项，例如：查询裸金属服务器网卡信息接口。 磁盘管理：包含裸金属服务器磁盘相关接口对应的授权项，例如：向指定裸金属服务器挂载磁盘、卸载指定裸金属服务器的磁盘等接口。 元数据管理：包含裸金属服务器元数据相关接口对应的授权项，例如：更新裸金属服务器元数据接口。 租户配额管理：包含租户配额相关接口对应的授权项，例如：查询租户配额接口。

授权项说明 在BMS服务中，OpenStack原生API授权项和授权项作用域与弹性云服务器的一致，具体请参考《弹性云服务器API参考》“API授权项列表”章节。 在IAM中自定义BMS的用户策略时，需要给BMS的用户策略中加入ecs:*:get和ecs:*:list两个权限，否则可能会因为权限不足导致部分云服务页面使用异常。 高速网络和自定义网络当前不支持企业项目，请用主账号使用这两个功能。 企业项目的子账号需要在IAM中给子账号授予vpc:ports:get权限，否则在裸金属服务器详情中弹性公网IP和安全组会显示异常。

权限及授权项说明 如果您需要对您所拥有的VPN资源进行精细的权限管理，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM），如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用VPN服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分，授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 如果您要允许或是禁止某个接口的操作权限，请使用策略。 帐号具备所有接口的调用权限，如果使用帐号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。例如，用户要调用接口来查询VPN 网关列表，那么这个IAM用户被授予的策略中必须包含允许“vpn:vpnGateways:list”的授权项，该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：策略实际调用的API接口。 授权项：策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 VPN的支持自定义策略授权项如下所示： 【示例】VPN网关，包含VPN 网关接口对应的授权项，如创建VPN 网关、查询VPN 网关、查询VPN 网关列表、更新VPN 网关、删除VPN 网关等接口。 父主题： 权限和授权项

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 云证书管理服务 （CCM）支持的自定义策略授权项如下所示： SSL证书管理 私有证书管理

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效，目前CPH暂不支持企业项目授权。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“×”表示暂不支持。 CPH的支持自定义策略授权项如下所示： 表1 服务器管理 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建云手机服务器 POST /v2/{project_id}/cloud-phone/servers cph:servers:create √ x 查询云手机服务器列表 GET /v1/{project_id}/cloud-phone/servers cph:servers:list √ x 表2 手机实例管理 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 查询云手机列表 GET /v1/{project_id}/cloud-phone/phones cph:phones:list √ x

对象相关授权项 表1 对象相关授权项列表 权限 对应API接口 授权项（Action） IAM项目（Project） 企业项目（Enterprise Project） 可用作于PUT上传对象，POST上传对象，复制对象，追加写对象，初始化上传段任务，上传段，拷贝段，合并段 PUT上传 POST上传 复制对象 追加写对象 初始化上传段任务 上传段 合并段 obs:object:PutObject √ √ 获取对象内容和对象元数据 下载对象 获取对象元数据 obs:object:GetObject √ √ 获取指定版本对象内容和对象元数据 下载对象 获取对象元数据 obs:object:GetObjectVersion √ √ 单个删除和批量删除对象 删除对象 批量删除对象 obs:object:DeleteObject √ √ 单个删除和批量删除指定版本对象 删除对象 批量删除对象 obs:object:DeleteObjectVersion √ √ 恢复归档存储对象 恢复归档或深度归档存储对象 obs:object:RestoreObject √ √ 设置对象ACL 设置对象ACL obs:object:PutObjectAcl √ √ 设置指定版本对象ACL 设置对象ACL obs:object:PutObjectVersionAcl √ √ 获取对象ACL的相关信息 获取对象ACL obs:object:GetObjectAcl √ √ 获取指定版本对象ACL的相关信息 获取对象ACL obs:object:GetObjectVersionAcl √ √ 修改对象元数据 修改对象元数据 obs:object:ModifyObjectMetaData √ √ 列举已上传段 列举已上传的段 obs:object:ListMultipartUploadParts √ √ 取消多段上传任务 取消多段上传任务 obs:object:AbortMultipartUpload √ √ 配置对象级WORM保护策略 配置对象级WORM保护策略 obs:object:PutObjectRetention √ √ 获取对象级WORM保护策略 获取对象元数据 obs:object:GetObjectRetention √ √ 父主题： 权限和授权项

告警规则管理接口授权项说明 权限 对应API接口 授权项 IAM项目 企业项目 查询告警规则列表，可以指定分页条件限制结果数量，可以指定排序规则。 GET /V1.0/{project_id}/alarms ces:alarms:list √ √ 根据告警ID查询告警规则信息。 GET /V1.0/{project_id}/alarms/{alarm_id} ces:alarms:get √ √ 启动或停止一条告警规则。 PUT /V1.0/{project_id}/alarms/{alarm_id}/action ces:alarmsOnOff:put √ √ 删除一条告警规则。 DELETE /V1.0/{project_id}/alarms/{alarm_id} ces:alarms:delete √ √ 创建一条告警规则。 POST /V1.0/{project_id}/alarms ces:alarms:create √ √ 父主题： 权限和授权项

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。

LakeFormation LakeCat API 您可以在自定义策略语句的Action元素中指定LakeFormation LakeCat API相关操作。详细操作如表3所示。 表3 LakeFormation支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 lakeformation:function:describe 查询LakeFormation元数据的函数的权限。 read - - lakeformation:function:drop 删除LakeFormation元数据的函数的权限。 write - - lakeformation:function:alter 修改LakeFormation元数据的函数的权限。 write - - lakeformation:function:create 创建LakeFormation元数据的函数的权限。 write - - lakeformation:catalog:describe 查询LakeFormation元数据的数据目录的权限。 read - - lakeformation:catalog:create 创建LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:alter 修改LakeFormation元数据的数据目录的权限。 write - - lakeformation:catalog:drop 删除LakeFormation元数据的数据目录的权限。 write - - lakeformation:database:describe 查询LakeFormation元数据的数据库的权限。 read - - lakeformation:database:create 创建LakeFormation元数据的数据库的权限。 write - - lakeformation:database:alter 修改LakeFormation元数据的数据库的权限。 write - - lakeformation:database:drop 删除LakeFormation元数据的数据库的权限。 write - - lakeformation:table:describe 查询LakeFormation元数据的数据表的权限。 read - - lakeformation:table:alter 修改LakeFormation元数据的数据表的权限。 write - - lakeformation:table:create 创建LakeFormation元数据的数据表的权限。 write - - lakeformation:table:drop 删除LakeFormation元数据的数据表的权限。 write - - lakeformation:transaction:operate 操作LakeFormation事务的权限。 write - - lakeformation:user:describe 查询LakeFormation用户以及关联角色关系的权限。 read - - lakeformation:policy:create 创建LakeFormation权限策略的权限。 write - - lakeformation:policy:export 批量查询LakeFormation权限策略的权限。 read - - lakeformation:policy:drop 删除LakeFormation权限策略的权限。 write - - lakeformation:policy:describe 查询LakeFormation权限策略的权限。 read - - lakeformation:group:describe 查询LakeFormation用户组以及关联角色关系的权限。 read - - lakeformation:group:alter 修改LakeFormation用户组以及关联角色关系的权限。 write - - lakeformation:instance:describe 查询LakeFormation实例的权限。 read - - lakeformation:role:create 创建LakeFormation角色的权限。 write - - lakeformation:role:describe 查询LakeFormation角色的权限。 read - - lakeformation:role:drop 删除LakeFormation角色的权限。 write - - lakeformation:role:alter 修改LakeFormation角色以及关联用户组关系的权限。 write - - lakeformation:credential:describe 获取访问LakeFormation认证信息的权限。 read - - lakeformation:configuration:describe 查询用户配置的权限。 read - - lakeformation:user:alter 修改LakeFormation用户以及关联角色关系的权限。 write - - lakeformation:tableFile:alter 修改文件的权限。 write - - lakeformation:tableFile:describe 查询文件的权限。 read - - lakeformation:tableFile:drop 删除文件的权限。 write - - lakeformation:tableFile:create 创建文件的权限。 write - - lakeformation:tableFileGroup:create 创建文件组的权限。 write - - lakeformation:tableFileGroup:describe 查询文件组的权限。 read - - lakeformation:tableFileGroup:alter 修改文件组的权限。 write - - lakeformation:tableFileGroup:drop 删除文件组的权限。 write - - lakeformation:metadata:restore 恢复元数据的权限。 write - - lakeformation:metadataEvent:describe 查询元数据事件的权限。 read - - LakeFormation LakeCat API通常对应着一个或多个操作项。表4展示了API与操作项的关系，以及该API需要依赖的操作项。 表4 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/names lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:describe - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:drop - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions/{function_name} lakeformation:function:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/functions lakeformation:function:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs lakeformation:catalog:create - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name} lakeformation:catalog:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases lakeformation:database:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name} lakeformation:database:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/names lakeformation:database:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/list-by-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables lakeformation:table:create - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:describe - PUT /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name} lakeformation:table:drop - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/column-statistics lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-alter lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-create lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-drop lakeformation:table:alter - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/batch-get lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/partition-names lakeformation:table:describe - GET /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/names lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics/batch-get lakeformation:table:describe - POST /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - DELETE /v1/{project_id}/instances/{instance_id}/catalogs/{catalog_name}/databases/{database_name}/tables/{table_name}/partitions/column-statistics lakeformation:table:alter - GET /v1/{project_id}/instances/{instance_id}/users lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/grant lakeformation:policy:create - GET /v1/{project_id}/instances/{instance_id}/policies/policy lakeformation:policy:export - POST /v1/{project_id}/instances/{instance_id}/policies/revoke lakeformation:policy:drop - GET /v1/{project_id}/instances/{instance_id}/policies/show lakeformation:policy:describe - GET /v1/{project_id}/instances/{instance_id}/policies lakeformation:policy:export - GET /v1/{project_id}/instances/{instance_id}/groups lakeformation:group:describe - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:alter - - lakeformation:group:describe - POST /v1/{project_id}/instances/{instance_id}/metaobj/count lakeformation:instance:describe - POST /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:create - GET /v1/{project_id}/instances/{instance_id}/roles lakeformation:role:describe - DELETE /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:drop - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:describe - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name} lakeformation:role:alter - GET /v1/{project_id}/instances/{instance_id}/roles/names lakeformation:role:describe - GET /v1/{project_id}/instances/{instance_id}/roles/{role_name}/principals lakeformation:role:describe - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/grant-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/roles/{role_name}/revoke-principals lakeformation:role:alter - PUT /v1/{project_id}/instances/{instance_id}/roles/{role_name}/update-principals lakeformation:role:alter - POST /v1/{project_id}/instances/{instance_id}/credential lakeformation:credential:describe - GET /v1/{project_id}/instances/{instance_id}/configurations lakeformation:configuration:describe - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/grant-roles lakeformation:user:alter - POST /v1/{project_id}/instances/{instance_id}/users/{user_name}/revoke-roles lakeformation:user:alter - PUT /v1/{project_id}/instances/{instance_id}/users/{user_name}/update-roles lakeformation:user:alter - GET /v1/{project_id}/instances/{instance_id}/users/{user_name}/roles lakeformation:user:describe - POST /v1/{project_id}/instances/{instance_id}/policies/check-permission lakeformation:policy:describe - - lakeformation:metadata:restore - GET /v1/{project_id}/instances/{instance_id}/metadata-event lakeformation:metadataEvent:describe -