华为云用户手册

依赖底层云产品配额限制 限制大类 限制项 普通用户限制 计算 实例数 1000 核心数 8000核 RAM 容量 (MB) 16384000 网络 一个用户创建虚拟私有云的数量 5 一个用户创建子网的数量 100 一个用户拥有的安全组数量 100 一个用户拥有的安全组规则数量 5000 一个路由表里拥有的路由数量 100 一个虚拟私有云拥有路由数量 100 一个区域下的对等连接数量 50 一个用户拥有网络ACL数量 200 一个用户创建二层连接网关的数量 5 负载均衡 弹性负载均衡 50 弹性负载均衡监听器 100 弹性负载均衡证书 120 弹性负载均衡转发策略 500 弹性负载均衡后端主机组 500 弹性负载均衡后端服务器 500 如果当前配额无法满足您的需求，您可以提交工单申请提升配额。

集群/节点限制 集群一旦创建以后，不支持变更以下项： 变更集群类型，例如“CCE Standard集群”更换为“ CCE Turbo 集群”。 变更集群的控制节点数量，例如非高可用集群（控制节点数量为1）变更为高可用集群（控制节点数量为3）。 变更控制节点可用区。 变更集群的网络配置，如所在的 虚拟私有云VPC 、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 CCE创建的E CS 实例（节点）目前支持“按需计费”和“包年/包月”，其他资源（例如负载均衡）为按需计费。如果资源所属的服务支持将按需计费实例转换成包年/包月实例，您可以通过对应的控制台进行操作。 集群中纳管计费模式为“包年包月”的节点时，无法在CCE控制台为其续费，用户需前往ECS控制台单独续费。 由于ECS（节点）等CCE依赖的底层资源存在产品配额及库存限制，创建集群、扩容集群或者自动弹性扩容时，可能只有部分节点创建成功。 ECS（节点）规格要求：CPU ≥ 2核且内存 ≥ 4GB。 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突。

网络限制 节点访问(NodePort)的使用约束：默认为VPC内网访问，如果需要通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 CCE中的负载均衡（LoadBalancer）访问类型使用弹性负载均衡 ELB提供网络访问，存在如下产品约束： 自动创建的ELB实例建议不要被其他资源使用，否则会在删除时被占用，导致资源残留。 v1.15及之前版本集群使用的ELB实例请不要修改监听器名称，否则可能导致无法正常访问。 网络策略支持的集群对比： 集群类型 CCE Standard集群 CCE Turbo集群 网络模型 容器隧道网络模型 云原生网络2.0模型 NetworkPolicy能力是否默认开启 默认开启 默认关闭，如需使用NetworkPolicy能力需在创建集群时开启DataPlane V2 数据面实现 openvswitch eBPF 入规则支持的集群版本 所有版本 v1.27.16-r10、v1.28.15-r0、v1.29.10-r0、 v1.30.6-r0及以上集群版本 出规则支持的集群版本 v1.23及以上集群版本 入规则支持的选择方式 namespaceSelector podSelector namespaceSelector podSelector ipBlock 出规则支持的选择方式 namespaceSelector podSelector ipBlock 支持的操作系统 EulerOS CentOS HCE 2.0 Huawei Cloud EulerOS 2.0 是否支持IPv6网络策略 不支持 支持 是否支持安全容器 不支持 不支持 ipBlock限制范围 无约束 只支持配置集群外的IP地址段（配置容器网段以及节点IP不生效） 是否支持通过工作负载的标签限制ClusterIP的访问 不支持 支持 是否支持限制100.125.0.0/16内部云服务网段 支持 不支持 是否支持SCTP协议 不支持 不支持 总是放通节点访问该节点上的Pod 支持 支持 是否支持NetworkPolicy中EndPort配置 不支持 不支持 DataPlane V2特性由CCE受限开放，使用前请提交工单给CCE服务进行申请。 NetworkPolicy暂不支持安全容器（容器运行时为Kata）。 容器隧道网络的CCE Standard集群中，通过原地升级到支持Egress的集群版本，由于不会升级节点操作系统，会导致无法使用Egress，此种情况下请重置节点。 容器隧道网络集群开启NetworkPolicy后，Pod访问服务网段地址时，会在IP数据上报的可选字段里填充Pod源IP，以便目的端Pod上的NetworkPolicy规则可以基于Pod源IP进行网络策略限制。

CCE集群配额限制 针对每个用户，云容器引擎的集群在每个地域分配了固定配额。 限制项 普通用户限制 例外 实名认证 实名认证 - 单Region下集群总数 50 请提交工单申请扩大配额。 单集群最大节点数（集群管理规模） 可选择50节点、200节点、1000节点或2000节点多种管理规模。 如果已有规模无法满足您的需求，您可以提交工单申请扩大集群管理规模，最大支持10000节点。 单节点最大实例数 256 说明： CCE Turbo集群中，节点最大实例数由节点可使用的网卡数量决定。 如果您期望提升节点上的部署密度，您可以提交工单申请调整节点最大实例数，最大支持修改至512个实例。 单个集群管理的最大Pod数 10万Pod 如果当前支持的Pod数量无法满足您的需求，您可以提交工单申请技术支持，帮助您基于业务模型调优集群。

为什么选择云容器引擎 云容器引擎深度整合高性能的计算（ECS/BMS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，并支持GPU、NPU、ARM等异构计算架构，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建高可用Kubernetes集群。 华为云是全球首批Kubernetes认证服务提供商（Kubernetes Certified Service Provider，KCSP），是国内最早投入Kubernetes社区的厂商，是容器开源社区主要贡献者和容器生态领导者。华为云也是CNCF云原生计算基金会的创始成员及白金会员，云容器引擎是全球首批通过CNCF基金会Kubernetes一致性认证的容器服务。 更多选择理由，请参见产品优势和应用场景。

产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo CCE Autopilot 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 无用户节点的Serverless版集群，无需对节点的部署、管理和安全性进行维护，并根据CPU和内存资源用量按需付费。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 适合具有明显的波峰波谷特征的业务负载，例如在线教育、电子商务等行业。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络2.0：面向大规模和高性能的场景。 hostPort 支持 不支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 提供虚机级别的隔离 边缘基础设施管理 不支持 支持管理智能边缘小站 不支持

产品架构 图1 CCE产品架构 计算：全面适配华为云各类计算实例，支持虚拟机和裸机混合部署、高性价比鲲鹏实例、GPU和华为云独有的昇腾算力；支持GPU虚拟化、共享调度、资源感知的调度优化。 网络：支持对接高性能、安全可靠、多协议的独享型ELB作为业务流量入口。 存储：对接 云存储 ，支持EVS、SFS和OBS，提供磁盘加密、快照和备份能力。 集群服务：支持购买集群、连接集群、升级集群、管理集群等一系列集群生命周期管理服务。 容器编排：CCE提供了管理Helm Chart（模板）的控制台，能够帮助您方便的使用模板部署应用，并在控制台上管理应用。 制品仓库：对接 容器镜像服务 ，支持镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助您快速部署容器化服务。 弹性伸缩：支持工作负载和节点的弹性伸缩，可以根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。 服务治理：深度集成应用服务网格，提供开箱即用的应用服务网格流量治理能力，用户无需修改代码，即可实现灰度发布、流量治理和流量监控能力。 容器运维：深度集成容器智能分析，可实时监控应用及资源，支持采集、管理、分析日志，采集各项指标及事件并提供一键开启的告警能力。 扩展插件市场：提供了多种类型的插件，用于管理集群的扩展功能，以支持选择性扩展满足特性需求的功能。

命名限制 表2 命名限制 限制项 说明 用户名 长度不能超过64个字符。 只能包含如下字符：大小写字母、空格、数字或特殊字符(-_.)且不能以数字或空格开头。 用户组名 长度不能超过128个字符。 只能包含如下字符：中文、大小写字母、数字、空格或特殊字符(-_)。 自定义策略名 长度不能超过128个字符。 只能包含如下字符：大小写字母、中文、数字、空格或特殊字符(-_.,)。 项目名 长度不能超过53个字符。 只能包含如下字符：大小写字母、数字或特殊字符(-_)。 委托名 长度不能超过64个字符。 身份提供商名 长度不能超过64个字符。 只能包含如下字符：大小写字母、数字或特殊字符(-_)。

配额 查看每个配额项目支持的默认配额，请参考怎样查看我的配额，登录控制台查询您的配额详情。如果需要扩大配额，可以提交工单申请提升配额。 表1 配额 资源分类 限制项 默认配额限制 是否支持调整 用户 IAM 用户数 50 是 提交工单申请提升配额 用户名的字符数 64 否 用户可加入的用户组数 10 否 用户可创建的访问密钥（AK/SK）数 2 否 用户可绑定的虚拟MFA设备数 1 否 一个用户基于企业项目可绑定的权限数（包括系统权限和自定义策略） 500 是 提交工单申请提升配额 用户组 用户组数 20 是 提交工单申请提升配额 用户组名的字符数 128 否 一个用户组中可添加的用户数 账号下的IAM用户数 否 一个用户组基于IAM项目可绑定的权限数（包括系统权限和自定义策略） 200 是 提交工单申请提升配额 一个用户组基于企业项目可绑定的权限数（包括系统权限和自定义策略） 500 是 提交工单申请提升配额 项目 项目数 10 是 提交工单申请提升配额 策略 策略名称的字符数 128 否 自定义策略 自定义策略个数 200 是 提交工单申请提升配额 字符数 6144 否 Statement 无限制 否 Action 无限制 否 Resource 无限制 否 Condition 无限制 否 委托 委托数 50 是 提交工单申请提升配额 委托名称的字符数 64 否 一个委托可绑定的权限数（包括系统权限和自定义策略） 200 是 提交工单申请提升配额 身份提供商 数量 10 是 提交工单申请提升配额 名称字符数 64 否 账号中所有身份提供商的映射规则总数 10 是 提交工单申请提升配额 联邦虚拟用户绑定的用户组数 100 否 联邦虚拟用户的用户名的字符数 255 否

审计与监控 云审计 服务（Cloud Trace Service，以下简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计服务中的“CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计，开通方法参见开通云审计服务。开通云审计服务后，可查看IAM的云审计日志，云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用IAM服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。 父主题： 安全

服务韧性 华为云数据中心按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断，华为云为所有数据中心提供灾难恢复计划。 华为云IAM作为基础身份认证服务，已面向全球用户服务，并在多个分区部署，具有更高的可用性、容错性和可扩展性。分区部署详情参见IAM可用分区。 父主题： 安全

访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分，角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组，只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略，限制用户只能从特定IP地址区间、网段及VPC Endpoint登录 IAM 控制台或访问 OpenAPI。 访问控制 父主题： 身份认证与访问控制

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ] }

Tenant Administrator角色内容 { "Version": "1.1", "Statement": [ { "Action": [ "obs:*:*" ], "Effect": "Allow" }, { "Condition": { "StringNotEqualsIgnoreCase": { "g:ServiceName": [ "iam" ] } }, "Action": [ "*:*:*" ], "Effect": "Allow" } ] }

Tenant Guest角色内容 { "Version": "1.1", "Statement": [ { "Action": [ "obs:*:get*", "obs:*:list*", "obs:*:head*" ], "Effect": "Allow" }, { "Condition": { "StringNotEqualsIgnoreCase": { "g:ServiceName": [ "iam" ] } }, "Action": [ "*:*:get*", "*:*:list*", "*:*:head*", "*:*:display*", "*:*:query*" ], "Effect": "Allow" } ] }

Security Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "iam:agencies:*", "iam:credentials:*", "iam:groups:*", "iam:identityProviders:*", "iam:mfa:*", "iam:permissions:*", "iam:projects:*", "iam:quotas:*", "iam:roles:*", "iam:users:*", "iam:securitypolicies:*" ], "Effect": "Allow" } ] }

IAM权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 IAM部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问IAM时，不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，IAM支持的API授权项请参见权限及授权项说明。 如表1所示，包括了IAM的所有系统权限。 表1 IAM系统权限 系统角色/策略名称 描述 类别 角色/策略内容 FullAccess 基于策略授权的所有服务的所有权限，拥有该权限的用户可以完成基于策略授权的所有服务的所有操作。 系统策略 FullAccess策略内容 IAM ReadOnlyAccess 统一身份认证 服务的只读权限，拥有该权限的用户仅能查看统一身份认证服务数据。 系统策略 IAM ReadOnlyAccess策略内容 Security Administrator 统一身份认证服务的管理员权限，拥有该权限的用户拥有IAM支持的所有权限，包括创建、删除IAM用户等操作。 系统角色 Security Administrator角色内容 Agent Operator 统一身份认证服务的切换角色权限，拥有该权限的用户（被委托方）可以切换角色并访问委托方账号中的资源。 系统角色 Agent Operator角色内容 Tenant Guest 除统一身份认证服务外，其他所有服务的只读权限。 系统策略 Tenant Guest角色内容 Tenant Administrator 除统一身份认证服务外，其他所有服务的管理员权限。 系统策略 Tenant Administrator角色内容 表2列出了IAM常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 Tenant Guest、Tenant Administrator是统一身份认证服务提供的基础权限，不包含IAM的任何权限，因此下表中不进行解析。 表2 常用操作与系统权限的关系 操作 Security Administrator Agent Operator FullAccess IAM ReadOnlyAccess 创建IAM用户 √ × √ × 查询IAM用户详情 √ × √ √ 修改IAM用户信息 √ × √ × 查询IAM用户安全设置 √ × √ √ 修改IAM用户安全设置 √ × √ × 删除IAM用户 √ × √ × 创建用户组 √ × √ × 查询用户组详情 √ × √ √ 修改用户组信息 √ × √ × 添加用户到用户组 √ × √ × 从用户组移除用户 √ × √ × 删除用户组 √ × √ × 为用户组授权 √ × √ × 移除用户组权限 √ × √ × 创建自定义策略 √ × √ × 修改自定义策略 √ × √ × 删除自定义策略 √ × √ × 查询权限详情 √ × √ √ 创建委托 √ × √ × 查询委托 √ × √ √ 修改委托 √ × √ × 切换角色 × √ √ × 删除委托 √ × √ × 为委托授权 √ × √ × 移除委托权限 √ × √ × 创建项目 √ × √ × 查询项目 √ × √ √ 修改项目 √ × √ × 删除项目 √ × √ × 创建身份提供商 √ × √ × 导入Metadata文件 √ × √ × 查询Metadata文件 √ × √ √ 查询身份提供商 √ × √ √ 查询协议 √ × √ √ 查询映射 √ × √ √ 更新身份提供商 √ × √ × 更新协议 √ × √ × 更新映射 √ × √ × 删除身份提供商 √ × √ × 删除协议 √ × √ × 删除映射 √ × √ × 查询配额 √ × √ × 访问密钥保护开启的情况下，仅管理员可以管理访问密钥。IAM用户如需创建、启用/停用或删除自己的访问密钥，需要管理员关闭访问密钥保护。访问密钥保护默认关闭。 若当前IAM用户要对其他IAM用户的访问密钥进行管理，则可以参考表3为当前IAM用户选择合适的系统权限。例如IAM用户A要为IAM用户B创建访问密钥，则IAM用户A需要拥有Security Administrator或者FullAccess权限。 表3 访问密钥操作与系统权限的关系 操作 Security Administrator Agent Operator FullAccess IAM ReadOnlyAccess 创建访问密钥（为其他IAM用户） √ × √ × 查询访问密钥列表（为其他IAM用户） √ × √ √ 修改访问密钥（为其他IAM用户） √ × √ × 删除访问密钥（为其他IAM用户） √ × √ ×

IAM的优势 对华为云的资源进行精细访问控制 您注册华为云后，系统自动创建账号，账号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。 如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时，避免分享账号的密码。 除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理，关于两者的详细区别，请参见：IAM与企业管理的区别。

修订记录 表1 修订记录 日期 修订记录 2022-05-30 第十八次正式发布。 新增安全章节，介绍IAM云服务的安全性。 2021-12-01 第十七次正式发布。 约束与限制新增身份提供商身份转换规则配额。 2021-11-23 第十六次正式发布。 使用IAM授权的云服务增加企业项目相关说明。 2021-04-25 第十五次正式发布。 约束与限制新增权限相关配额。 2020-12-30 第十四次正式发布。 根据登录界面词条变更刷新基本概念章节截图。 2020-10-27 第十三次正式发布。 根据登录方式变更刷新基本概念章节截图。 2020-09-30 第十二次正式发布。 新增权限管理章节。 2020-06-11 第十一次正式发布。 约束与限制中“用户可加入的用户组数”限制值减少至10。 2020-06-08 第十次正式发布。 基本概念中增加HUAWEI ID说明，并更新登录界面截图。 2020-01-19 第九次正式发布。 优化基本概念中“权限”的概念。 约束与限制中新增“项目数”的限制。 2019-11-20 第八次正式发布。 约束与限制中“自定义策略数”限制值增加至200。 2019-06-26 第七次正式发布。 使用IAM授权的云服务中新增各服务的跳转链接。 2019-06-05 第六次正式发布。 优化什么是IAM、基本概念和IAM功能章节。 2019-03-05 第五次正式发布。 新增约束与限制章节。 2019-02-20 第四次正式发布。 新增基本概念章节。 2019-01-15 第三次正式发布。 新增使用IAM授权的云服务章节。 2018-08-10 第二次正式发布。 本次变更说明如下： 新增9-个人数据保护机制章节。 2018-03-30 第一次正式发布。

EI企业智能 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 ModelArts 除全局区域外的其他区域 √ √ √ √ √ 数据治理中心 DataArts Studio 除全局区域外的其他区域 √ √ √ √ x MapReduce服务 MRS 除全局区域外的其他区域 √ √ x √ √ 数据仓库服务 DWS 除全局区域外的其他区域 √ √ √ √ √ 表格存储服务 CloudTable 除全局区域外的其他区域 √ √ x x √ 数据湖探索 DLI 除全局区域外的其他区域 √ √ x x √ 数据接入服务 DIS 除全局区域外的其他区域 √ √ √ x √ 云搜索服务 CSS 除全局区域外的其他区域 √ √ √ x √ 图引擎服务 GES 除全局区域外的其他区域 √ √ √ x √ 推荐系统 RES 除全局区域外的其他区域 √ √ x √ √ 内容审核 Moderation 除全局区域外的其他区域 √ √ x √ x 对话机器人服务 CBS 除全局区域外的其他区域 √ √ x x x 华为HiLens 除全局区域外的其他区域 √ x x √ x 可信智能计算服务 TICS 除全局区域外的其他区域 √ x x √ x LakeFormation 全局区域 √ √ √ √ √

用户服务 服务 所属区域 控制台 API 委托 策略 企业项目 账号中心 BSS 除全局区域外的其他区域 √ x x √ x 费用中心 BSS 除全局区域外的其他区域 √ x x √ x 资源中心 BSS 除全局区域外的其他区域 √ x x √ x 企业管理 EPS 全局区域 √ √ x √ x 工单管理 Ticket 全局区域 √ √ x x x 网站备案 全局区域 √ x x x x 专业服务 全局区域 √ x x √ x

应用服务 服务 所属区域 控制台 API 委托 策略 企业项目 应用管理与运维平台 ServiceStage 除全局区域外的其他区域 √ √ x x x 分布式缓存服务 DCS 除全局区域外的其他区域 √ √ √ √ √ 分布式消息服务Kafka版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RabbitMQ版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RocketMQ版 除全局区域外的其他区域 √ √ x √ √ 消息通知 服务 SMN 除全局区域外的其他区域 √ √ x x √ 微服务引擎 CSE 除全局区域外的其他区域 √ √ x x √ 性能测试 CodeArts PerfTest 除全局区域外的其他区域 √ √ x x x API网关 APIG 除全局区域外的其他区域 √ √ x x √ 区块链服务BCS 除全局区域外的其他区域 √ √ x √ √

管理与监管 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 统一身份认证服务 IAM 全局区域 √ √ x √ x 云监控服务 CES 除全局区域外的其他区域 √ √ x √ √ 云审计服务 CTS 除全局区域外的其他区域 √ √ x x x 应用性能管理 APM 除全局区域外的其他区域 √ √ x √ √ 应用运维管理 AOM 除全局区域外的其他区域 √ √ x √ √ 云日志 服务 LTS 除全局区域外的其他区域 √ √ x √ √ 标签管理服务 TMS 全局区域 √ √ x x x 应用身份管理 服务 OneAccess 全局区域 √ x x √ x

安全与合规 服务 所属区域 控制台 API 委托 策略 企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 主机安全服务 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密 服务 DEW 除全局区域外的其他区域 √ √ x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x

网络 服务 所属区域 控制台 API 委托 策略 企业项目 虚拟私有云 VPC 除全局区域外的其他区域 √ √ x √ √ 弹性负载均衡 ELB 除全局区域外的其他区域 √ √ x √ √ 云解析服务 DNS 全局区域 √ √ x x √ NAT网关 除全局区域外的其他区域 √ √ x √ √ 云专线 DC 除全局区域外的其他区域 √ x x x x 虚拟专用网络 VPN 除全局区域外的其他区域 √ x x √ x 云连接 CC 除全局区域外的其他区域 √ x x √ √ VPC终端节点 VPCEP 除全局区域外的其他区域 √ √ x x x

数据库 服务 所属区域 控制台 API 委托 策略 企业项目 云数据库 RDS 除全局区域外的其他区域 √ √ x √ √ 文档数据库服务 DDS 除全局区域外的其他区域 √ x x √ √ 分布式数据库 中间件 DDM 除全局区域外的其他区域 √ √ x √ √ 数据复制服务 DRS 除全局区域外的其他区域 √ √ x √ √ 数据管理服务 DAS 除全局区域外的其他区域 √ x x x x 云数据库 （GeminiDB） 除全局区域外的其他区域 √ √ x √ √

计算 服务 所属区域 控制台 API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域 √ √ x x x 镜像服务 IMS 除全局区域外的其他区域 √ √ √ √ √ 函数工作流 FunctionGraph 除全局区域外的其他区域 √ √ √ x √ 专属主机 DeH 除全局区域外的其他区域 √ x x √ √

存储 服务 所属区域 控制台 API 委托 策略 企业项目 云硬盘 EVS 除全局区域外的其他区域 √ √ x √ √ 存储容灾服务 SDRS 除全局区域外的其他区域 √ √ x x x 云服务器备份 CSBS 除全局区域外的其他区域 √ √ x x x 云硬盘备份 VBS 除全局区域外的其他区域 √ √ x x x 对象存储服务 OBS 全局区域 √ √ √ √ √ 弹性文件服务 SFS 除全局区域外的其他区域 √ √ x √ √ 内容分发网络 CDN 全局区域 √ √ x √ √ 云备份 CBR 除全局区域外的其他区域 √ √ x √ √

权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM最初提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。 角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：策略是IAM最新提供的一种细粒度授权的能力，可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM，管理员可以通过给对应云服务提交工单，申请该服务在IAM预置权限。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例