华为云用户手册

请求示例 项目id为14181c1245cf4fd786824efe1e2b9388的项目，删除防火墙id为546af3f8-88e9-47f2-a205-2346d7090925的防火墙下的域名组域名，防护对象id为ae42418e-f077-41a0-9d3b-5b2f5ad9102b，域名组id为78719348-6d79-477e-acec-676a29842ab2，域名列表为"b9c23ad8-16d2-4f14-894f-29250c5d27e5", "c36f9462-467b-4303-9734-f9abc38ddb95" https://{Endpoint}/v1/14181c1245cf4fd786824efe1e2b9388/domain-set/domains/78719348-6d79-477e-acec-676a29842ab2?fw_instance_id=546af3f8-88e9-47f2-a205-2346d7090925&enterprise_project_id=default { "domain_address_ids" : [ "b9c23ad8-16d2-4f14-894f-29250c5d27e5", "c36f9462-467b-4303-9734-f9abc38ddb95" ], "object_id" : "ae42418e-f077-41a0-9d3b-5b2f5ad9102b" }

URI DELETE /v1/{project_id}/domain-set/domains/{set_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目id set_id 是 String 域名组id 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 企业项目id，用户支持企业项目后，由企业项目生成的id。

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 表4 请求Body参数 参数 是否必选 参数类型 描述 object_id 是 String 防护对象id，是创建 云防火墙 后用于区分互联网边界防护和VPC边界防护的标志id，可通过调用查询防火墙实例接口获得，注意type为0的为互联网边界防护对象id，type为1的为VPC边界防护对象id。具体可参考APIExlorer和帮助中心FAQ。 domain_address_ids 是 Array of strings 域名地址组

响应示例 状态码： 200 日志配置DTO { "data" : { "fw_instance_id" : "4df2bcd1-6299-4fba-8e71-8d50ea807090", "lts_access_log_stream_enable" : 0, "lts_attack_log_stream_enable" : 0, "lts_enable" : 0, "lts_flow_log_stream_enable" : 0, "lts_log_group_id" : "d783ce42-7f56-4c2d-9a96-b1043d016f5a" } }

请求示例 查询项目id为408972e72dcd4c1a9b033e955802a36b下的防火墙id为4e113415-7811-4bb3-bf5e-eb835953f7d4的防火墙的日志配置。 https://{Endpoint}/v1/408972e72dcd4c1a9b033e955802a36b/cfw/logs/configuration?fw_instance_id=4e113415-7811-4bb3-bf5e-eb835953f7d4&enterprise_project_id=default

URI GET /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目id 表2 Query参数 参数 是否必选 参数类型 描述 fw_instance_id 是 String 防火墙实例id，创建云防火墙后用于标志防火墙由系统自动生成的标志id，可通过调用查询防火墙实例接口获得。具体可参考APIExlorer和帮助中心FAQ。 enterprise_project_id 否 String 企业项目id，用户支持企业项目后，由企业项目生成的id。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 data LogConfigDto object 日志配置数据 表5 LogConfigDto 参数 参数类型 描述 fw_instance_id String 防火墙id lts_enable Integer 是否开启LTS lts_log_group_id String LTS日志分组id lts_attack_log_stream_id String 攻击日志流id lts_attack_log_stream_enable Integer 是否开启攻击日志流 lts_access_log_stream_id String 访问控制日志流id lts_access_log_stream_enable Integer 是否开启访问控制流 lts_flow_log_stream_id String 流量日志id lts_flow_log_stream_enable Integer 是否开启流量日志

请求示例 更新项目id为408972e72dcd4c1a9b033e955802a36b的防火墙id为22c4a5db-504c-471f-8187-5192bc11de0b的防火墙的日志配置，lts日志配置为关闭，流日志、访问控制日志、攻击日志设置为关闭。 https://{Endpoint}/v1/408972e72dcd4c1a9b033e955802a36b/cfw/logs/configuration?fw_instance_id=22c4a5db-504c-471f-8187-5192bc11de0b&enterprise_project_id=default { "fw_instance_id" : "22c4a5db-504c-471f-8187-5192bc11de0b", "lts_enable" : 0, "lts_log_group_id" : "20282428-a8f9-4e75-8246-165e64cf8ba8", "lts_attack_log_stream_enable" : 0, "lts_access_log_stream_enable" : 0, "lts_flow_log_stream_enable" : 0 }

URI PUT /v1/{project_id}/cfw/logs/configuration 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户项目id 表2 Query参数 参数 是否必选 参数类型 描述 fw_instance_id 是 String 防火墙实例id，创建云防火墙后用于标志防火墙由系统自动生成的标志id，可通过调用查询防火墙实例接口获得。具体可参考APIExlorer和帮助中心FAQ。 enterprise_project_id 否 String 企业项目id，用户支持企业项目后，由企业项目生成的id。

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 表4 请求Body参数 参数 是否必选 参数类型 描述 fw_instance_id 是 String 防火墙id lts_enable 是 Integer 是否开启LTS lts_log_group_id 是 String LTS日志分组id lts_attack_log_stream_id 否 String 攻击日志流id lts_attack_log_stream_enable 是 Integer 是否开启攻击日志流 lts_access_log_stream_id 否 String 访问控制日志流id lts_access_log_stream_enable 是 Integer 是否开启访问控制流 lts_flow_log_stream_id 否 String 流量日志id lts_flow_log_stream_enable 是 Integer 是否开启流量日志

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：8 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 data data object 执行结果 表4 data 参数 参数类型 描述 id String 任务ID status String 任务执行状态。 取值： 值为“Running”，表示任务正在执行。 值为“Success”，表示任务执行成功。 值为“Failed”，表示任务执行失败。 枚举值： Running Success Failed begin_time String 创建时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如北京时间偏移显示为+0800。 end_time String 结束时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如北京时间偏移显示为+0800。

用户服务 服务 作用范围 系统权限 权限类别 权限描述 业务支撑系统（BSS） （项目级服务） 须知： 授权时，除了全局服务外，需要授予其他所有区域的权限。 区域级项目 BSS Administrator 角色 费用中心、资源中心、账号中心的所有执行权限。 BSS Operator 费用中心的查询权限，资源中心和账号中心的管理权限。 BSS Finance 财务相关的操作权限，可以提供支付、消费、发票等财务相关功能，不提供云服务的变更等功能。 Enterprise ProjectBSSFullAccess 策略 企业项目费用的管理权限。 企业项目管理服务（EPS） （全局级服务） 全局服务 EPSFullAccess 策略 企业管理的管理员权限，包括企业项目以及人员管理的所有权限，可以创建企业、迁移资源、添加移除用户组，为用户组设置策略等。由管理员在IAM侧的全局服务中设置。 单个企业项目的管理员权限，仅拥有指定企业项目的权限，包括修改、启用、停用、查看企业项目。可以由管理员以及具备IAM侧EPSFullAccess的用户在企业管理中设置。 EPSReadOnlyAccess 企业项目的只读权限，拥有该权限的用户可以执行查询操作。 企业管理的只读权限，可以查看所有企业项目以及用户信息。由管理员在IAM侧的全局服务中设置。 单个企业项目的只读权限，可以由管理员以及具备IAM侧EPSFullAccess的用户在企业管理中设置。 工单管理（Service Ticket） （全局级服务） 全局服务 Ticket Administrator 角色 工单管理的所有执行权限。 专业服务 （全局级服务、项目级服务） 所有项目 PSDMFullAccess 策略 专业服务交付管理平台的所有权限。 PSDMReadOnlyAccess 专业服务交付管理平台的只读权限。 网站备案 （全局级服务） 全局服务 Beian Administrator 角色 备案服务管理员，拥有备案服务的所有执行权限。

云通信 服务 作用范围 系统权限 权限类别 权限描述 语音通话（VoiceCall） （项目级服务） 区域级项目 RTC Administrator 角色 语音通话、消息&短信、 隐私保护通话 的所有执行权限。 消息&短信（MSG SMS ） （项目级服务） 区域级项目 RTC Administrator 角色 语音通话、消息&短信、隐私保护通话的所有执行权限。 MSGSMS FullAccess 策略 消息&短信服务普通用户权限，拥有该权限的用户可以拥有消息&短信支持的全部权限，包括创建、删除、查询、变更规格等操作。 MSGSMS ReadOnlyAccess 消息&短信服务只读权限，拥有该权限的用户仅能查看消息&短信服务数据。 隐私保护通话（PrivateNumber） （项目级服务） 区域级项目 RTC Administrator 角色 语音通话、消息&短信、隐私保护通话的所有执行权限。 PrivateNumber FullAccess 策略 隐私保护通话服务所有权限。 PrivateNumber ReadOnlyAccess 隐私保护通话服务只读权限。

开发与运维 服务 作用范围 系统权限 权限类别 权限描述 软件开发生产线 CodeArts （项目级服务） 区域级项目 DevCloud Console FullAccess 策略 软件开发平台控制台所有权限。 DevCloud Console ReadOnlyAccess 软件开发平台控制台只读权限。 需求管理 CodeArts Req （项目级服务） 区域级项目 ProjectMan ConfigOperations 策略 软件开发云项目配置的所有权限。 CodeArts IDE Online （项目级服务） 区域级项目 CloudIDE FullAccess 策略 CodeArts IDE Online所有权限。 CloudIDE ReadOnlyAccess CodeArts IDE Online只读权限。 CloudIDE Development CodeArts IDE Online开发权限，包括查看、启动、停止、访问实例等操作。 CloudIDE InstanceManagement CodeArts IDE Online实例管理权限，用户可以管理自己拥有的实例、访问被分发给自己的实例。

视频 服务 作用范围 系统权限 权限类别 权限描述 媒体处理 （MPC） （项目级服务） 区域级项目 MPC Administrator 角色 媒体处理的所有执行权限。 视频点播 服务（VOD） （项目级服务） 区域级项目 VOD Administrator 角色 视频点播服务里的所有操作权限，操作对象为所有的媒资文件。 VOD Group Administrator 除全局配置以及域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的媒资文件。 VOD Group Operator 具有除审核媒资、删除媒资、全局配置、域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的媒资文件。 VOD Group Guest 仅具备查询媒资文件的权限，操作对象为用户所在组创建的媒资文件。 VOD Operator 具有除审核媒资、全局配置、域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的视频文件。 VOD Guest 视频点播服务只读权限。 VOD FullAccess 策略 视频点播服务所有权限。 VOD ReadOnlyAccess 视频点播服务只读权限。 VOD CommonOperations 视频点播服务基本操作权限。具有除全局配置、域名管理、权限管理、审核设置、音视频托管以外的其他点播服务操作权限。 视频直播 服务（Live） （项目级服务） 区域级项目 Live FullAccess 策略 视频直播服务所有权限。 Live ReadOnlyAccess 视频直播服务只读权限。 实时音视频 （SparkRTC） （全局服务） 全局服务 RTC FullAccess 策略 实时音视频服务所有权限。 RTC ReadOnlyAccess 实时音视频服务只读权限。

企业应用 服务 作用范围 系统权限 权限类别 权限描述 云桌面 （Workspace） （项目级服务） 区域级项目 Workspace FullAccess 策略 云桌面服务所有权限。 Workspace DesktopsManager 云桌面服务桌面管理员权限。 Workspace UserManager 云桌面服务用户管理员权限。 Workspace SecurityManager 云桌面服务安全管理员权限。 Workspace TenantManager 云桌面服务租户配置管理员权限。 Workspace ReadOnlyAccess 云桌面服务只读权限。 应用与 数据集成平台 （ROMA Connect） （项目级服务） 区域级项目 ROMA Administrator 角色 ROMAConnect管理员权限，拥有该权限的用户可以操作并使用所有ROMAConnect功能。 该角色有依赖，请根据需要在同项目中勾选依赖的角色： 使用VPC通道时，用户还需具备VPC Administrator角色权限。 使用FunctionGraph作为API的后端服务时，用户还需具备FunctionGraph Administrator角色权限。 使用规则引擎转发DIS时，用户还需具备DIS Administrator角色权限。 ROMA FullAccess 策略 ROMA Connect服务所有权限，拥有该权限的用户可以操作所有ROMA Connect服务的功能。 ROMA CommonOperations ROMA Connect服务普通用户权限（无实例创建、修改、删除的权限）。 ROMA ReadOnlyAccess ROMA Connect服务的只读权限，拥有该权限的用户仅能查看ROMA Connect服务数据。 ROMA资产中心（ROMA Exchange） （全局级服务、项目级服务） 所有项目 ROMAExchange FullAccess 策略 ROMA资产中心所有权限。 ROMAExchange CommonOperations ROMA资产中心的资产操作权限，但不包括单据审批权限。 ROMAExchange ApprovalOperations ROMA资产中心的单据审批权限，但不包括资产操作权限。 云速建站 （CloudSite） （项目级服务） 区域级项目 CloudSite FullAccess 策略 云速建站服务所有权限。 CloudSite ReadOnlyAccess 云速建站服务只读权限。 CloudSite CommonOperations 云速建站服务基本操作权限, 包括查看和修改站点信息。

迁移 服务 作用范围 系统权限 权限类别 权限描述 云数据迁移 （ CDM ） （项目级服务） 区域级项目 CDM Administrator 角色 云数据迁移的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 CDMFullAccess 策略 CDM管理员权限，拥有CDM服务所有权限。 CDMFullAccessExceptUpdateEIP 拥有除绑定/解绑EIP外的所有CDM服务权限。 CDMCommonOperations 拥有CDM作业和连接的操作权限。 CDMReadOnlyAccess CDM服务只读权限，拥有该权限的用户仅能查看CDM集群、连接、作业。 主机迁移服务 （SMS） （全局级服务） 全局服务 SMS FullAccess 策略 主机迁移 服务所有权限。 SMS ReadOnlyAccess 主机迁移服务只读权限。 对象存储迁移 服务（ OMS ） （项目级服务） 区域级项目 OMS Administrator 角色 对象存储迁移服务所有权限。 如需使用OMS，需要为IAM用户同时授予系统策略OBS OperateAccess。

EI 企业智能 服务 作用范围 系统权限 权限类别 权限描述 ModelArts （项目级服务） 区域级项目 ModelArtsFullAccess 策略 ModelArts管理员权限，拥有ModelArts所有的权限。 ModelArtsCommonOperations ModelArts操作权限，拥有除了管理专属资源池之外的所有操作权限。 数据治理中心 （ DataArts Studio ） （项目级服务） 区域级项目 DAYU Administrator 角色 DataArts Studio的所有执行权限。具备对所有工作空间的所有权限。 特殊的是，仅DAYU Administrator具有数据开发模块的默认项配置权限（周期调度、多IF策略、软硬锁策略），DAYU User不支持。 DAYU User 数据治理 中心DataArts Studio普通用户，拥有被授予的工作空间的指定角色的权限。 赋予DAYU User策略的用户具有什么权限，依赖于该用户在工作空间中被赋予什么角色。 MapReduce服务 （ MRS ） （项目级服务） 区域级项目 MRSFullAccess 策略 MapReduce服务的所有执行权限。 MRSCommonOperations MapReduce服务的普通用户权限（无新增、删除资源权限）。 MRSReadOnlyAccess MapReduce服务的只读权限。 MRS Administrator 角色 MapReduce服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 数据仓库 服务 GaussDB （DWS） （项目级服务） 区域级项目 DWSFullAccess 策略 数据仓库服务的所有执行权限。 DWSReadOnlyAccess 数据仓库服务的只读权限。 DWS Administrator 角色 数据仓库服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 DWS Database Access 数据仓库服务数据库访问权限，拥有该权限的用户，可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 数据湖探索 （ DLI ） （项目级服务） 区域级项目 DLI Service Admin 角色 数据湖 探索的所有执行权限。 DLI FullAccess 策略 数据湖探索所有权限，拥有该权限的用户拥有数据湖探索所有的执行权限。 DLI ReadOnlyAccess 数据湖探索只读权限，拥有该权限的用户仅有查看队列列表、作业列表、作业详情、数据库列表、表列表、显示建表语句和显示表字段以及作业创建、更新、删除等作业元数据操作权限，无其他权限。 图引擎服务（GES） （项目级服务） 区域级项目 GES Administrator 角色 图引擎服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 GES Manager GES服务高级用户，可以对GES资源执行除创建图和删除图以外的任意操作。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 GES Operator 只读图、访问图权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 GESFullAccess 策略 图引擎服务管理员权限，拥有该权限的用户拥有图引擎服务的全部权限，包括创建、删除、访问、升级等操作。 GESDevelopment 图引擎服务使用权限，拥有该权限的用户可以执行除了创建图、删除图以外所有操作。 GESReadOnlyAccess 图引擎服务资源只读权限，拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。 云搜索服务 （ CSS ） （项目级服务） 区域级项目 Elasticsearch Administrator 角色 云搜索 服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 数据接入服务 （DIS） （项目级服务） 区域级项目 DIS Administrator 角色 数据接入服务的所有执行权限。 DIS Operator 通道管理权限，拥有创建删除等管理通道的权限，但不能使用通道上传下载数据。 DIS User 通道使用权限，拥有使用通道上传下载数据的权限，但不能管理通道。 表格存储服务 （CloudTable） （项目级服务） 区域级项目 CloudTable Administrator 角色 表格存储 服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 推荐系统（RES） （项目级服务） 区域级项目 RESFullAccess 策略 推荐系统的所有执行权限。 RESReadOnlyAccess 推荐系统的只读权限。 对话机器人服务 （CBS） （项目级服务） 区域级项目 CBS Administrator 角色 对话机器人 服务的所有执行权限。 CBS Guest 对话机器人服务的只读权限。 华为HiLens （项目级服务） 区域级项目 HiLens FullAccess 策略 Huawei HiLens管理员权限，拥有该权限的用户可以操作并使用所有Huawei HiLens服务。 如果需要申请公测、设置告警接收和设置技能消息的操作权限，需要在同项目中勾选 SMN Administrator角色。 HiLens CommonOperations Huawei HiLens操作权限，拥有该权限的用户拥有Huawei HiLens服务的操作权限除了注销设备、下架技能的权限。 HiLens ReadOnlyAccess Huawei HiLens只读权限，拥有该权限的用户仅能查看Huawei HiLens服务的数据。 如果需要申请公测、设置告警接收和设置技能消息的操作权限，需要在同项目中勾选SMN Administrator角色。 可信智能计算服务 （ TICS ） （项目级服务） 区域级项目 TI CS FullAccess 策略 可信智能计算 服务的所有访问权限。 TICS ReadOnlyAccess 可信智能计算服务的只读访问权限。 TICS CommonOperations 可信智能计算服务联盟、作业、代理、通知、数据集的管理权限 LakeFormation 全局服务 LakeFormation FullAccess 策略 LakeFormation管理员权限，拥有该权限的用户可以操作并使用所有LakeFormation服务功能。 LakeFormation ReadOnlyAccess LakeFormation只读权限，拥有该权限的用户可以执行LakeFormation所有查询类功能。 LakeFormation CommonAccess LakeFormation基础权限，包含LakeForamtion服务协议查看/授权/取消，以及OBS、TMS等周边依赖服务的基础权限集合。

数据库 服务 作用范围 系统权限 权限类别 权限描述 关系型数据库（RDS） （项目级服务） 区域级项目 RDSFullAccess 策略 关系型数据库的所有执行权限。 RDSReadOnlyAccess 关系型数据库的只读权限。 RDS ManageAccess 关系型数据库除删除操作外的DBA权限。 RDS Administrator 角色 关系型数据库的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 文档数据库服务（DDS） （项目级服务） 区域级项目 DDSFullAccess 策略 文档数据库服务的所有执行权限。 DDSReadOnlyAccess 文档数据库服务的只读权限。 DDSManageAccess 文档数据库服务除删除操作外的DBA权限。 DDS Administrator 角色 文档数据库服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator 如果配置了DDS企业项目，需要在同项目中勾选DAS Admin，才可以通过DDS界面登录到DAS服务。 数据复制服务 （DRS） （项目级服务） 区域级项目 DRS Administrator 角色 数据复制服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 DRS FullAccess 策略 数据复制服务所有权限。 DRS ReadOnlyAccess 数据复制服务只读权限 数据管理服务（DAS） （项目级服务） 区域级项目 DAS Administrator 角色 数据管理服务管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 DAS FullAccess 策略 数据管理服务的所有权限。 分布式数据库 中间件（DDM） （项目级服务） 区域级项目 DDMFullAccess 策略 分布式数据库中间件的所有执行权限。 DDMCommonOperations 分布式数据库中间件的普通权限。 普通权限与所有执行权限比较，普通权限不具备以下操作权限： 购买DDM实例 删除DDM实例 平滑扩容 扩容失败-回滚、扩容失败-清理 DDMReadOnlyAccess 分布式数据库中间件的只读权限。 云数据库 GeminiDB （项目级服务） 区域级项目 GaussDB NoSQL FullAccess 策略 云数据库 GeminiDB服务所有权限。 GaussDB NoSQL ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 云数据库GaussDB （项目级服务） 区域级项目 GaussDB FullAccess 策略 云数据库GaussDB服务的所有执行权限。 GaussDB ReadOnlyAccess 云数据库GaussDB服务的只读访问权限。 云数据库 GaussDB(for MySQL) （项目级服务） 区域级项目 GaussDB FullAccess 策略 云数据库GaussDB服务的所有执行权限。 GaussDB ReadOnlyAccess 云数据库GaussDB服务的只读访问权限。

应用服务 服务 作用范围 系统权限 权限类别 权限描述 应用管理与运维平台（ServiceStage） （项目级服务） 区域级项目 ServiceStage Administrator 角色 应用管理与运维平台管理员，拥有该服务下的所有权限。 ServiceStage Developer 应用管理与运维平台开发者，拥有该服务下的所有权限，但无基础设施创建权限。 ServiceStage Operator 应用管理与运维平台操作员，拥有该服务下的只读权限。 ServiceStage FullAccess 策略 应用管理与运维平台所有权限。 ServiceStage ReadOnlyAccess 应用管理与运维平台只读权限。 ServiceStage Development 应用管理与运维平台开发者权限，拥有应用、组件、环境的操作权限，但无审批权限和基础设施创建权限。 微服务引擎服务（CSE） 区域级项目 CSE FullAccess 策略 微服务引擎服务所有权限。 CSE ReadOnlyAccess 微服务引擎服务只读权限。 分布式缓存服务（DCS） （项目级服务） 区域级项目 DCSFullAccess 策略 分布式缓存服务的所有执行权限。 DCSUserAccess 分布式缓存服务的普通用户权限（无实例创建、修改、删除、扩缩容）。 DCSReadOnlyAccess 分布式缓存服务的只读权限。 DCS Administrator 角色 分布式缓存服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 分布式消息服务（DMS Kafka、DMS RabbitMQ） （项目级服务） 区域级项目 DMSUserAccess 策略（DMS Kafka） 策略（DMS RabbitMQ） 分布式消息服务（DMS Kafka、DMS RabbitMQ）普通用户权限（没有实例创建、修改、删除、扩容、转储）。 DMSReadOnlyAccess 分布式消息服务（DMS Kafka、DMS RabbitMQ）的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 DMSFullAccess 分布式消息服务（DMS Kafka、DMS RabbitMQ）管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 消息通知 服务（SMN） （项目级服务） 区域级项目 SMN Administrator 角色 消息通知服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 SMNFullAccess 策略 消息通知服务所有权限。 SMNReadOnlyAccess 消息通知服务的只读访问权限。 API网关（APIG） （项目级服务） 区域级项目 APIG Administrator 角色 API网关服务的管理员权限。拥有该权限的用户可以使用共享版和专享版API网关服务的所有功能。 使用VPC通道时，用户还需具备VPC Administrator角色权限 使用自定义认证功能，用户还需具备FunctionGraph Administrator角色权限。 APIG FullAccess 策略 API网关服务所有权限。拥有该权限的用户可以使用专享版API网关服务的所有功能。 APIG ReadOnlyAccess API网关服务的只读访问权限。拥有该权限的用户只能查看专享版API网关的各类信息。 多云高可用服务（MAS）（项目级服务） 区域级项目 MAS FullAccess 策略 多云高可用服务所有权限。 MAS ReadOnlyAccess 多云高可用服务只读权限。 MAS CommonOperations 多云高可用服务基本操作权限，包括拥有应用、组件、监控器的操作权限，但无实例创建、删除权限。 区块链 服务（ BCS ） （项目级服务） 区域级项目 BCS Administrator 角色 区块链服务的管理员权限。 BCS FullAccess 策略 区块链服务所有权限。 BCS ReadOnlyAccess 区块链服务只读权限。

管理与监管 服务 作用范围 系统权限 权限类别 权限描述 统一身份认证 服务（IAM） （全局服务） 全局服务 IAM ReadOnlyAccess 策略 统一身份认证服务的只读权限。 全局服务 Security Administrator 角色 统一身份认证服务的管理员权限。 云监控 （项目级服务） 区域级项目 CES Administrator 角色 云监控服务 的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 区域级项目 CESFullAccess 策略 云监控服务的管理员权限，拥有该权限可以操作云监控服务的全部权限。 云服务监控功能因为涉及需要查询其他云服务的实例资源，需要涉及服务支持策略授权特性，才可以正常使用，支持策略授权的云服务列表请参考: 使用IAM授权的云服务。 区域级项目 CESReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 云服务监控功能因为涉及需要查询其他云服务的实例资源，需要涉及服务支持策略授权特性，才可以正常使用，支持策略授权的云服务列表请参考: 使用IAM授权的云服务。 应用运维管理 服务（ AOM ） （项目级服务） 区域级项目 AOMFullAccess 策略 应用运维管理服务的所有执行权限。 AOMReadOnlyAccess 应用运维管理服务的只读权限。 应用性能管理 服务（ APM ） （项目级服务） 区域级项目 APMFullAccess 策略 应用性能管理服务的所有执行权限。 APMReadOnlyAccess 应用性能管理服务的只读权限。 APM Administrator 角色 应用性能管理服务的所有执行权限。 云审计 服务（ CTS ） （项目级服务） 区域级项目 CTS FullAccess 策略 云审计服务所有权限。 说明： 开通云审计服务，需同时拥有CTS FullAccess、Security Administrator权限。 CTS ReadOnlyAccess 云审计服务只读权限。 CTS Administrator 角色 云审计服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、以及Tenant Administrator。 云日志 服务（LTS） （项目级服务） 区域级项目 LTSFullAccess 策略 云日志服务的所有执行权限。 LTSReadOnlyAccess 云日志服务的只读权限。 LTS Administrator 角色 云日志服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、以及Tenant Administrator。 标签管理服务（TMS） （全局级服务） 全局服务 TMS FullAccess 策略 标签管理服务所有权限。 TMS ReadOnlyAccess 标签管理服务只读权限。 TMS Administrator 角色 标签管理服务管理员权限。 依赖以下策略： Tenant Guest：全局级/项目级策略，在同项目中勾选。 Server Administrator：项目级策略，在同项目中勾选。 Tenant Guest：全局级策略，选择“全局服务”。 Tenant Administrator：全局级策略，选择“全局服务”。 IMS Administrator：项目级服务，在同项目中勾选。 AutoScaling Administrator：项目级服务，在同项目中勾选。 VPC Administrator：项目级服务，在同项目中勾选。 VBS Administrator：项目级服务，在同项目中勾选。 资源模板服务（RTS） （项目级服务） 区域级项目 RTS Administrator 角色 资源模板服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator、ELB Administrator、CES Administrator。 应用身份管理 服务（ OneAccess ） （全局级服务） 全局服务 OneAccess FullAccess 策略 应用身份管理服务所有执行权限，包括自定义域名、修改域名证书等，但IAM用户不支持购买并使用OneAccess。 OneAccess ReadOnlyAccess 应用身份管理服务只读权限，拥有该权限的用户仅能查看应用身份管理服务，不具备服务配置权限。 配置审计 （Config） （全局级服务） 全局服务 RMS FullAccess 策略 配置审计服务所有权限。 RMS ReadOnlyAccess 配置审计服务只读权限。 资源访问管理 （ RAM ） （全局级服务） 全局服务 RAM FullAccess 策略 拥有该权限的用户可以执行RAM服务支持的所有功能，包括创建、更改、删除、查询等操作。 RAM ReadOnlyAccess RAM服务只读权限，拥有该权限的用户仅可以查看RAM服务相关信息，不允许进行任何更改。 RAM ResourceShareParticipantAccess 拥有该权限的用户可以接受、拒绝共享邀请，并查看相应的共享信息。

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务 的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务 （VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描 服务的所有执行权限。 企业主机安全 （HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密 服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 CSMS FullAccess 凭据管理服务所有权限。 CSMS ReadOnlyAccess 凭据管理服务凭据只读权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙 （WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙（CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到 云证书管理服务 CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCMFullAccess 策略 SSL证书管理服务的所有权限。 SCMReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务 （CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全 服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知 （SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机 （CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云 堡垒机 实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心 （DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

容器 服务 作用范围 系统权限 权限类别 权限描述 云容器引擎（CCE） （项目级服务） 区域级项目 CCEFullAccess 策略 云容器引擎服务集群资源的普通操作权限（包含集群创建、删除、更新等）。不包括集群（启用Kubernetes RBAC鉴权）命名空间权限以及委托授权、生成集群证书等管理员权限。 说明： IAM用户可以在CCE控制台获取集群（启用Kubernetes RBAC鉴权）命名空间权限以及委托授权、生成集群证书等管理员权限，详情请参考：CCE权限概述。 CCEReadOnlyAccess 云容器引擎服务集群资源的普通只读权限，不包括集群（启用Kubernetes RBAC鉴权）命名空间权限。 CCE Administrator 角色 具有CCE集群及集群下所有资源（包含工作负载、服务等）的读写权限。 该角色有依赖，需要同时又拥有以下权限： 全局服务：OBS Buckets Viewer。 区域级项目（在同项目中勾选）：Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、APM FullAccess。 说明： 如果同时拥有NAT Gateway Administrator权限，则可以在集群中使用NAT网关的相关功能。 云容器实例（CCI） （项目级服务） 区域级项目 CCI FullAccess 策略 云容器实例所有权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 CCI ReadOnlyAccess 云容器实例只读权限，拥有该权限的用户仅能查看云容器实例资源。 CCI CommonOperations 云容器实例普通用户，拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。 CCI Administrator 角色 云容器实例管理员权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 容器镜像服务 （SWR） （项目级服务） 区域级项目 SWR Admin 角色 容器 镜像服务 的所有执行权限。 SWR FullAccess 策略 容器镜像服务企业版所有权限。 SWR ReadOnlyAccess 容器镜像服务企业版只读权限，可以查询制品仓库、Chart，创建临时凭证，下载制品等。 SWR OperateAccess 容器镜像服务企业版操作权限，可以查询企业版实例，操作制品仓库、组织，创建临时凭证，上传、下载制品等。 基因容器（GCS） （项目级服务） 区域级项目 GCS Administrator 角色 基因容器服务管理员。 GCS FullAccess 策略 基因容器服务的所有执行权限。 GCS ReadOnlyAccess 基因容器服务的只读权限。 GCS CommonOperations 基因容器服务的使用权限。 应用编排服务 （AOS） （项目级服务） 区域级项目 CDE Admin 角色 应用编排服务（AOS）管理员，拥有该服务下的所有权限。 CDE Developer 应用编排服务（AOS）开发者。 RF FullAccess 策略 资源编排 服务（RF）所有权限。 RF ReadOnlyAccess 资源编排服务（RF）只读权限。 RF DeployByExecutionPlanOperations 资源编排服务（RF）通过执行计划开发权限，拥有执行计划的创建、执行、读取权限和堆栈的读取权限。 华为云UCS （全局级服务） 全局服务 UCS FullAccess 策略 UCS服务管理员权限，拥有该权限的用户拥有服务的所有权限（包含制定权限策略、安全策略等）。 UCS CommonOperations UCS服务基本操作权限，拥有该权限的用户可以执行创建工作负载、流量分发等操作。 UCS CIAOperations UCS服务容器智能分析管理员权限。 UCS ReadOnlyAccess UCS服务只读权限（除容器智能分析只读权限）。

网络 服务 作用范围 系统权限 权限类别 权限描述 虚拟私有云（VPC） （项目级服务） 区域级项目 VPCFullAccess 策略 虚拟私有云的所有执行权限。 VPCReadOnlyAccess 虚拟私有云的只读权限。 VPC Administrator 角色 虚拟私有云的部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 Server Administrator 对弹性IP地址、安全组、端口进行任意操作。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 弹性负载均衡（ELB） （项目级服务） 区域级项目 ELBFullAccess 策略 弹性负载均衡的所有执行权限。 ELBReadOnlyAccess 弹性负载均衡的只读权限。 ELB Administrator 角色 弹性负载均衡的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 NAT网关（NAT） （项目级服务） 区域级项目 NATFullAccess 策略 NAT网关的所有执行权限。 NATReadOnlyAccess NAT网关的只读权限。 NAT Gateway Administrator 角色 NAT网关的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 云专线（DC） （项目级服务） 区域级项目 Direct Connect Administrator 角色 云专线服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 DCaaS Partner 云专线服务的合作伙伴用户权限，支持为其他用户创建托管和标准连接。 DCAAS FullAccess 策略 云专线服务所有权限。 DCAAS ReadOnlyAccess 云专线服务只读权限。 虚拟专用网络 （VPN） （项目级服务） 区域级项目 VPN Administrator 角色 虚拟专用网络的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 VPN FullAccess 策略 虚拟专用网络服务所有权限。 VPN ReadOnlyAccess 虚拟专用网络服务只读权限。 云解析服务（DNS） （项目级服务） 区域级项目 DNS Administrator 角色 云解析服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 DNS FullAccess 策略 云解析服务的所有执行权限。 DNS ReadOnlyAccess 云解析服务只读权限，拥有该权限的用户仅能查看DNS的资源。 VPC终端节点 （VPCEP） （项目级服务） 区域级项目 VPCEndpoint Administrator 角色 VPC终端节点的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator、VPC Administrator和DNS Administrator。 云连接（CC） （全局级服务） 全局服务 Cross Connect Administrator 角色 云连接服务的管理员权限，拥有该权限的用户拥有云连接服务所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 CC FullAccess 策略 云连接服务所有权限。 CC ReadOnlyAccess 云连接服务只读权限。 CC Network Depend QueryAccess 云连接服务依赖的只读权限。 企业路由器（ER） （项目级服务） 区域级项目 ER FullAccess 策略 企业路由器所有权限。 ER ReadOnlyAccess 企业路由器只读权限。

存储 服务 作用范围 系统权限 权限类别 权限描述 对象存储服务 （OBS） （全局级服务） 全局服务 OBSOperateAccess 策略 拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作，在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 OBSReadOnlyAccess 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。 OBS Buckets Viewer 角色 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 云硬盘（EVS） （项目级服务） 区域级项目 EVSFullAccess 策略 云硬盘的所有权限，具有云硬盘资源的创建、扩容、挂载、卸载、查询、删除等操作权限。 EVSReadOnlyAccess 云硬盘的只读权限，只有云硬盘资源的查询权限。 Server Administrator 角色 云硬盘服务的所有执行权限。 云备份（CBR） （项目级服务） 区域级项目 CBRFullAccess 策略 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库和策略。 CBRBackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库等。 CBRReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 内容分发网络（CDN） （全局级服务） 全局服务 CDNDomainReadOnlyAccess 策略 内容分发网络加速域名信息的只读权限。 CDNStatisticsReadOnlyAccess 内容分发网络统计信息的只读权限。 CDNLogsReadOnlyAccess 内容分发网络日志的只读权限。 CDNDomainConfigureAccess 内容分发网络加速域名的配置权限。 CDN RefreshAndPreheatAccess 内容分发网络刷新预热权限。 CDN Administrator 角色 内容分发网络的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 存储容灾服务（SDRS） （项目级服务） 区域级项目 SDRS Administrator 角色 存储容灾服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 弹性文件服务（SFS） （项目级服务） 区域级项目 SFSFullAccess 策略 弹性文件服务的所有执行权限。 SFSReadOnlyAccess 弹性文件服务的只读权限。 SFS Turbo FullAccess 弹性文件服务SFS Turbo的所有权限。 SFS Turbo ReadOnlyAccess 弹性文件服务SFS Turbo的只读权限。 SFS Administrator 角色 弹性文件服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 云服务器备份（CSBS） （项目级服务） 区域级项目 CSBS Administrator 角色 云服务器备份的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator。 云硬盘备份（VBS） （项目级服务） 区域级项目 VBS Administrator 角色 云硬盘备份的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。

BASE 服务 作用范围 系统权限 权限类别 权限描述 BASE 全局服务 FullAccess 策略 基于策略授权的所有服务的所有权限。 所有项目 Tenant Guest 角色 除统一身份认证服务外，其他所有服务的只读权限。 说明： 作用范围为全局服务，授权将对除IAM外的全局服务生效，用户将拥有OBS、CDN等全局服务的只读权限。 作用范围为所有项目，授权将对除IAM外的全局服务和所有项目（包括未来创建的项目）生效，用户将拥有除IAM外，所有项目下所有服务的只读权限。 作用范围为指定项目，授权仅对指定项目生效，用户将拥有指定项目下，ECS、BMS等所有项目级服务的只读权限。 费用中心涉及敏感信息，如需查看费用中心，则需要单独配置业务支撑系统（BSS）相关权限。 所有项目 Tenant Administrator 除统一身份认证服务外，其他所有服务的管理员权限。 说明： 作用范围为全局服务，授权将对除IAM外的全局服务生效，用户将拥有OBS、CDN等所有全局服务的管理员权限。 作用范围为所有项目，授权将对除IAM外的全局服务和所有项目（包括未来创建的项目）生效，用户将拥有除IAM外，所有项目下所有服务的管理员权限。 作用范围为指定项目，授权仅对指定项目生效，用户将拥有指定项目下，ECS、BMS等所有项目级服务的管理员权限。 全局服务 Agent Operator 切换角色并访问委托方账号中的资源。

计算 服务 作用范围 系统权限 权限类别 权限描述 弹性云服务器（ECS） （项目级服务） 区域级项目 ECSFullAccess 策略 弹性云服务器的所有执行权限。 ECSReadOnlyAccess 弹性云服务器的只读权限。 ECSCommonOperations 开机、关机、重启、查询弹性云服务器。 ECS PartnerOperations 弹性云服务器的合作伙伴权限。 Server Administrator 角色 弹性云服务器的所有执行权限，该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 如果在操作过程中涉及其他服务资源的创建、删除、变更等，则还需要在同项目中勾选对应服务的Administrator权限。 例如：在控制台创建ECS时如需创建新的VPC，则需额外授予创建VPC的VPC Administrator权限。 裸金属服务器（BMS） （项目级服务) 区域级项目 BMSFullAccess 策略 裸金属服务器的所有执行权限。 BMSReadOnlyAccess 裸金属服务器的只读权限。 BMSCommonOperations 开机、关机、重启、查询裸金属服务器。 弹性伸缩（AS） （项目级服务） 区域级项目 AutoScalingFullAccess 策略 弹性伸缩全部资源的所有执行权限。 AutoScalingReadOnlyAccess 弹性伸缩全部资源的只读权限。 AutoScaling Administrator 角色 对弹性伸缩全部资源的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：ELB Administrator、CES Administrator、Server Administrator、Tenant Administrator。 镜像服务（IMS） （项目级服务） 区域级项目 IMSFullAccess 策略 镜像服务的所有执行权限。 IMSReadOnlyAccess 镜像服务的只读权限。 IMS Administrator 角色 镜像服务的所有执行权限。 该角色有依赖，需要勾选依赖的角色：Tenant Administrator。 Server Administrator 创建、删除、查询、修改及上传镜像，该角色有依赖，需要在同项目中勾选依赖的角色：IMS Administrator 函数工作流 （FunctionGraph） （项目级服务） 区域级项目 FunctionGraph FullAccess 策略 FunctionGraph服务的所有执行权限。 FunctionGraph ReadOnlyAccess FunctionGraph服务的只读权限。 FunctionGraph CommonOperations FunctionGraph服务的操作权限，包括查询函数和触发器以及调用函数。 FunctionGraph Administrator 角色 FunctionGraph函数工作流、触发器的管理权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 FunctionGraph Invoker FunctionGraph函数工作流、触发器的查询权限。 云手机服务器（CPH） （项目级服务） 区域级项目 CPH Administrator 角色 云手机的所有执行权限。 CPH User 云手机的只读权限。 专属主机（DeH） （项目级服务） 区域级项目 DeH FullAccess 策略 专属主机所有执行权限。 DeH CommonOperations 专属主机基本操作权限。 DeH ReadOnlyAccess 专属主机只读权限，拥有该权限的用户仅能进行查询操作，可用于统计和调查。

用户服务 服务 作用范围 系统权限 权限类别 权限描述 业务支撑系统（BSS） （项目级服务） 须知： 授权时，除了全局服务外，需要授予其他所有区域的权限。 区域级项目 BSS Administrator 角色 费用中心、资源中心、账号中心的所有执行权限。 BSS Operator 费用中心的查询权限，资源中心和账号中心的管理权限。 BSS Finance 财务相关的操作权限，可以提供支付、消费、发票等财务相关功能，不提供云服务的变更等功能。 Enterprise ProjectBSSFullAccess 策略 企业项目费用的管理权限。 企业项目管理服务（EPS） （全局级服务） 全局服务 EPSFullAccess 策略 企业管理的管理员权限，包括企业项目以及人员管理的所有权限，可以创建企业、迁移资源、添加移除用户组，为用户组设置策略等。由管理员在IAM侧的全局服务中设置。 单个企业项目的管理员权限，仅拥有指定企业项目的权限，包括修改、启用、停用、查看企业项目。可以由管理员以及具备IAM侧EPSFullAccess的用户在企业管理中设置。 EPSReadOnlyAccess 企业项目的只读权限，拥有该权限的用户可以执行查询操作。 企业管理的只读权限，可以查看所有企业项目以及用户信息。由管理员在IAM侧的全局服务中设置。 单个企业项目的只读权限，可以由管理员以及具备IAM侧EPSFullAccess的用户在企业管理中设置。 工单管理（Service Ticket） （全局级服务） 全局服务 Ticket Administrator 角色 工单管理的所有执行权限。 专业服务 （全局级服务、项目级服务） 所有项目 PSDMFullAccess 策略 专业服务交付管理平台的所有权限。 PSDMReadOnlyAccess 专业服务交付管理平台的只读权限。 网站备案 （全局级服务） 全局服务 Beian Administrator 角色 备案服务管理员，拥有备案服务的所有执行权限。

开发与运维 服务 作用范围 系统权限 权限类别 权限描述 软件开发生产线 CodeArts （项目级服务） 区域级项目 DevCloud Console FullAccess 策略 软件开发平台控制台所有权限。 DevCloud Console ReadOnlyAccess 软件开发平台控制台只读权限。 需求管理 CodeArts Req （项目级服务） 区域级项目 ProjectMan ConfigOperations 策略 软件开发云项目配置的所有权限。 CodeArts IDE Online （项目级服务） 区域级项目 CloudIDE FullAccess 策略 CodeArts IDE Online所有权限。 CloudIDE ReadOnlyAccess CodeArts IDE Online只读权限。 CloudIDE Development CodeArts IDE Online开发权限，包括查看、启动、停止、访问实例等操作。 CloudIDE InstanceManagement CodeArts IDE Online实例管理权限，用户可以管理自己拥有的实例、访问被分发给自己的实例。

视频 服务 作用范围 系统权限 权限类别 权限描述 媒体处理（MPC） （项目级服务） 区域级项目 MPC Administrator 角色 媒体处理的所有执行权限。 视频点播服务（VOD） （项目级服务） 区域级项目 VOD Administrator 角色 视频点播服务里的所有操作权限，操作对象为所有的媒资文件。 VOD Group Administrator 除全局配置以及域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的媒资文件。 VOD Group Operator 具有除审核媒资、删除媒资、全局配置、域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的媒资文件。 VOD Group Guest 仅具备查询媒资文件的权限，操作对象为用户所在组创建的媒资文件。 VOD Operator 具有除审核媒资、全局配置、域名管理以外的其他点播服务操作权限，操作对象为用户所在组创建的视频文件。 VOD Guest 视频点播服务只读权限。 VOD FullAccess 策略 视频点播服务所有权限。 VOD ReadOnlyAccess 视频点播服务只读权限。 VOD CommonOperations 视频点播服务基本操作权限。具有除全局配置、域名管理、权限管理、审核设置、音视频托管以外的其他点播服务操作权限。 视频直播服务（Live） （项目级服务） 区域级项目 Live FullAccess 策略 视频直播服务所有权限。 Live ReadOnlyAccess 视频直播服务只读权限。 实时音视频（SparkRTC） （全局服务） 全局服务 RTC FullAccess 策略 实时音视频服务所有权限。 RTC ReadOnlyAccess 实时音视频服务只读权限。