华为云用户手册

响应示例 状态码：200 PUT操作正常返回，更多状态码请参见状态码。 { "port" : { "name" : "", "id" : "99fd0c77-56b4-4bf6-8365-df352e45d5fc", "admin_state_up" : true, "status" : "DOWN", "project_id" : "f5dab68cd75740e68c599e9af5fe0aed", "device_id" : "", "mac_address" : "fa:16:3e:1f:17:df", "device_owner" : "", "description" : "", "zone_id" : "", "scope" : "center", "position_type" : "center", "created_at" : "2023-05-10T01:35:02.000+00:00", "updated_at" : "2023-05-10T01:35:02.000+00:00", "port_security_enabled" : true, "tags" : [ ], "security_groups" : [ "567be4e3-d171-46ce-9e8a-c15e91cfe86a", "8edd3747-ccd4-49a1-82b9-a165eec314b4", "6c2d4540-3b7d-4207-a319-a7231b439995", "4940b983-5992-4663-bed9-d1d1e15d1009" ], "allowed_address_pairs" : [ ], "extra_dhcp_opts" : [ ], "instance_id" : "", "instance_type" : "", "ecs_flavor" : "", "enable_efi" : false, "virsubnet_id" : "3847b263-2370-45c0-8236-38a1de568049", "private_ips" : [ { "subnet_cidr_id" : "ffe98087-6d4f-45cd-988b-1c87f75d2d53", "ip_address" : "192.168.158.228" } ], "binding:host_id" : "", "binding:vif_type" : "unbound", "binding:vnic_type" : "normal", "binding:vif_details" : { }, "binding:profile" : { }, "binding:migration_info" : { } }, "request_id" : "458691c0-7db2-43d8-9400-053800c5ff53" }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 port 是 InsertSecurityGroupOption object 端口插入安全组请求体。 表3 InsertSecurityGroupOption 参数 是否必选 参数类型 描述 security_groups 是 Array of strings 功能说明：安全组的ID列表，例如："security_groups": ["a0608cbf-d047-4f54-8b28-cd7b59853fff"]。 index 否 Integer 安全组插入的位置，从0开始计数。 举例： 要插入到已关联安全组列表的首位，index=0； 要插入到已关联安全组列表的第n个安全组后面，index=n。 默认插入到端口已关联的安全组列表末尾。

请求示例 指定端口插入安全组，端口99fd0c77-56b4-4bf6-8365-df352e45d5fc已关联的安全组列表为["567be4e3-d171-46ce-9e8a-c15e91cfe86a", "4940b983-5992-4663-bed9-d1d1e15d1009"]，要将新安全组插入到第1个安全组567be4e3-d171-46ce-9e8a-c15e91cfe86a后面，此时新安全组插入的index为1。 PUT https://{Endpoint}/v3/f5dab68cd75740e68c599e9af5fe0aed/ports/99fd0c77-56b4-4bf6-8365-df352e45d5fc/insert-security-groups { "port" : { "security_groups" : [ "8edd3747-ccd4-49a1-82b9-a165eec314b4", "6c2d4540-3b7d-4207-a319-a7231b439995" ], "index" : 1 } }

网络ACL（Openstack Neutron API） 权限 对应API接口 授权项(Action) IAM 项目(Project) 企业项目(Enterprise Project) 查询所有网络ACL规则 GET /v2.0/fwaas/firewall_rules vpc:firewallRules:get √ × 查询特定网络ACL规则 GET /v2.0/fwaas/firewall_rules/{firewall_rule_id} vpc:firewallRules:get √ × 创建网络ACL规则 POST /v2.0/fwaas/firewall_rules vpc:firewallRules:create √ × 更新网络ACL规则 PUT /v2.0/fwaas/firewall_rules/{firewall_rule_id} vpc:firewallRules:update √ × 删除网络ACL规则 DELETE /v2.0/fwaas/firewall_rules/{firewall_rule_id} vpc:firewallRules:delete √ × 查询所有网络ACL策略 GET /v2.0/fwaas/firewall_policies vpc:firewallPolicies:get √ × 查询特定网络ACL策略 GET /v2.0/fwaas/firewall_policies/{firewall_policy_id} vpc:firewallPolicies:get √ × 创建网络ACL策略 POST /v2.0/fwaas/firewall_policies vpc:firewallPolicies:create √ × 更新网络ACL策略 PUT /v2.0/fwaas/firewall_policies/{firewall_policy_id} vpc:firewallPolicies:update √ × 删除网络ACL策略 DELETE /v2.0/fwaas/firewall_policies/{firewall_policy_id} vpc:firewallPolicies:delete √ × 插入网络ACL规则 PUT /v2.0/fwaas/firewall_policies/{firewall_policy_id}/insert_rule vpc:firewallPolicies:addRule vpc:firewallPolicies:get √ × 移除网络ACL规则 PUT /v2.0/fwaas/firewall_policies/{firewall_policy_id}/remove_rule vpc:firewallPolicies:removeRule vpc:firewallPolicies:get √ × 查询所有网络ACL组 GET /v2.0/fwaas/firewall_groups vpc:firewallGroups:get √ × 查询特定网络ACL组 GET /v2.0/fwaas/firewall_groups/{firewall_group_id} vpc:firewallGroups:get √ × 创建网络ACL组 POST /v2.0/fwaas/firewall_groups vpc:firewallGroups:create √ × 更新网络ACL组 PUT /v2.0/fwaas/firewall_groups/{firewall_group_id} vpc:firewallGroups:update √ × 删除网络ACL组 DELETE /v2.0/fwaas/firewall_groups/{firewall_group_id} vpc:firewallGroups:delete √ × 父主题： API OpenStack Neutron V2.0 原生的权限和授权项

路由表 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询路由表列表 GET /v1/{project_id}/routetables vpc:routeTables:list √ √ 查询路由表 GET /v1/{project_id}/routetables/{routetable_id} vpc:routeTables:get √ √ 创建路由表 POST /v1/{project_id}/routetables vpc:routeTables:create √ √ 更新路由表 PUT /v1/{project_id}/routetables/{routetable_id} vpc:routeTables:update √ √ 关联路由表与子网 POST /v1/{project_id}/routetables/{routetable_id}/action vpc:routeTables:associate √ √ 解关联路由表与子网 POST /v1/{project_id}/routetables/{routetable_id}/action vpc:routeTables:associate √ √ 删除路由表 DELETE /v1/{project_id}/routetables/{routetable_id} vpc:routeTables:delete √ √ 父主题： API V1/V2的权限和授权项

响应参数 状态码：204 请求正常返回 状态码：400 表2 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：401 表3 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：403 表4 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：404 表5 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：500 表6 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。

URI DELETE /v3/{project_id}/firewalls/{firewall_id}/tags/{tag_key} 表1 路径参数 参数 是否必选 参数类型 描述 firewall_id 是 String 功能说明：ACL唯一标识 取值范围：合法UUID 约束：ID对应的ACL必须存在 project_id 是 String 项目ID tag_key 是 String 功能说明：标签键

网络ACL标签（API V3） 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询ACL资源实例数量 POST /v3/{project_id}/firewalls/resource-instances/count vpc:firewallTags:get √ × 查询ACL资源实例列表 POST /v3/{project_id}/firewalls/resource-instances/filter vpc:firewallTags:get √ × 添加ACL资源标签 POST /v3/{project_id}/firewalls/{firewall_id}/tags vpc:firewallTags:create √ × 删除ACL资源标签 DELETE /v3/{project_id}/firewalls/{firewall_id}/tags/{tag_key} vpc:firewallTags:delete √ × 查询ACL资源标签 GET /v3/{project_id}/firewalls/{firewall_id}/tags vpc:firewallTags:get √ × 批量添加ACL资源标签 POST /v3/{project_id}/firewalls/{firewall_id}/tags/create vpc:firewallTags:create √ × 批量删除ACL资源标签 POST /v3/{project_id}/firewalls/{firewall_id}/tags/delete vpc:firewallTags:delete √ × 查询ACL项目标签 GET /v3/{project_id}/firewalls/tags vpc:firewallTags:get √ × 父主题： API V3的权限和授权项

子网 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建子网 POST /v1/{project_id}/subnets vpc:subnets:create √ √ 查询子网 GET /v1/{project_id}/subnets/{subnet_id} vpc:subnets:get √ √ 查询子网列表 GET /v1/{project_id}/subnets vpc:subnets:get √ √ 更新子网 PUT /v1/{project_id}/vpcs/{vpc_id}/subnets/{subnet_id} vpc:subnets:update √ √ 删除子网 DELETE /v1/{project_id}/vpcs/{vpc_id}/subnets/{subnet_id} vpc:subnets:delete √ √ 父主题： API V1/V2的权限和授权项

私有IP 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 申请私有IP POST /v1/{project_id}/privateips vpc:privateIps:create √ × 查询私有IP GET /v1/{project_id}/privateips/{privateip_id} vpc:privateIps:get √ × 查询私有IP列表 GET /v1/{project_id}/subnets/{subnet_id}/privateips vpc:privateIps:list √ × 删除私有IP DELETE /v1/{project_id}/privateips/{privateip_id} vpc:privateIps:delete √ × 父主题： API V1/V2的权限和授权项

端口（Openstack Neutron API） 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询端口列表 GET /v2.0/ports vpc:ports:get √ × 查询端口 GET /v2.0/ports/{port_id} vpc:ports:get √ × 创建端口 POST /v2.0/ports vpc:ports:create √ × 更新端口 PUT /v2.0/ports/{port_id} vpc:ports:update √ × 删除端口 DELETE /v2.0/ports/{port_id} vpc:ports:delete √ × 父主题： API OpenStack Neutron V2.0 原生的权限和授权项

流量镜像筛选条件（API V3） 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建流量镜像筛选条件 POST /v3/{project_id}/vpc/traffic-mirror-filters vpc:trafficMirrorFilters:create √ × 查询流量镜像筛选条件列表 GET /v3/{project_id}/vpc/traffic-mirror-filters vpc:trafficMirrorFilters:list √ × 查询流量镜像筛选条件详情 GET /v3/{project_id}/vpc/traffic-mirror-filters/{traffic_mirror_filter_id} vpc:trafficMirrorFilters:get √ × 更新流量镜像筛选条件 PUT /v3/{project_id}/vpc/traffic-mirror-filters/{traffic_mirror_filter_id} vpc:trafficMirrorFilters:update √ × 删除流量镜像筛选条件 DELETE /v3/{project_id}/vpc/traffic-mirror-filters/{traffic_mirror_filter_id} vpc:trafficMirrorFilters:delete √ × 父主题： API V3的权限和授权项

响应示例 状态码：201 POST操作正常返回，更多状态码请参见状态码。 { "virsubnet_cidr_reservation": { "id": "ed4edb94-754c-7848-bb77-2d381906c535", "virsubnet_id": "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "vpc_id": "cef5d621-6c20-d5df-74e8-746271fba734", "ip_version": 4, "cidr": "192.168.21.96/28", "name": "test", "description": "for test", "project_id": "11e8dd119c77479db890e266e68c1ecf", "created_at": "2024-09-09T11:56:27Z", "updated_at": "2024-09-09T11:56:27Z", }, "request_id": "fd48620df5f57b04917f2cc5ebeaf277" }

请求示例 创建子网预留网段，所属虚拟子网ID为fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19，IPv4版本，指定预留网段cidr为192.168.21.96/28，指定名称为test，描述为for test。 POST https://{Endpoint}/v3/{project_id}/vpc/virsubnet-cidr-reservations { "virsubnet_cidr_reservation" : { "virsubnet_id" : "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "ip_version" : 4, "cidr" : "192.168.21.96/28", "name" : "test", "description" : "for test" } }

URI GET /v3/{project_id}/vpc/virsubnet-cidr-reservations/{virsubnet_cidr_reservation_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 virsubnet_cidr_reservation_id 是 String 子网预留网段资源ID。

响应示例 状态码：200 GET操作正常返回，更多状态码请参见状态码。 { "virsubnet_cidr_reservations" : { "id" : "987d7959-9c48-ad49-2fdd-bf4146d6ebc4", "virsubnet_id" : "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "vpc_id" : "cef5d621-6c20-d5df-74e8-746271fba734", "ip_version" : 4, "cidr" : "192.168.21.96/28", "name" : "test", "description" : "for test", "project_id" : "11e8dd119c77479db890e266e68c1ecf", "created_at" : "2024-09-09T10:20:35Z", "updated_at" : "2024-09-09T10:20:35Z" }, "request_id" : "96579891a62195d2c54054ac43fab0aa" }

URI GET /v3/{project_id}/vpc/virsubnet-cidr-reservations 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 功能说明：每页返回的个数。 取值范围：0-2000。 marker 否 String 分页查询起始的资源ID，为空时查询第一页。 id 否 Array of strings 功能说明：子网预留网段资源ID。可以使用该字段过滤子网预留网段，支持多个ID。 virsubnet_id 否 Array of strings 功能说明：子网预留网段所在的虚拟子网ID。可以使用该字段过滤子网预留网段，支持多个ID。 cidr 否 Array of strings 功能说明：子网预留网段CIDR。可以使用该字段过滤子网预留网段，支持多个CIDR。 ip_version 否 Array of integers 功能说明：子网预留网段所在子网的IP版本，可以使用该字段过滤子网预留网段。 取值范围: 4,6。 name 否 Array of strings 功能说明：子网预留网段名称。可以使用该字段过滤满足条件的子网预留网段，支持传入多个名称过滤。 description 否 Array of strings 功能说明：子网预留网段描述。可以使用该字段过滤子网预留网段，支持传入多个描述进行过滤。 enterprise_project_id 否 String 功能说明：企业项目ID。可以使用该字段过滤某个企业项目下的子网预留网段。 取值范围：最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。“0”表示默认企业项目。 约束：若需要查询当前用户所有有权限查看企业项目绑定的子网预留网段，请传参all_granted_eps。

响应示例 状态码：200 GET操作正常返回，更多状态码请参见状态码。 { "virsubnet_cidr_reservations": [ { "id": "987d7959-9c48-ad49-2fdd-bf4146d6ebc4", "virsubnet_id": "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "vpc_id": "cef5d621-6c20-d5df-74e8-746271fba734", "ip_version": 4, "cidr": "192.168.21.96/28", "name": "test", "description": "for test", "project_id": "11e8dd119c77479db890e266e68c1ecf", "created_at": "2024-09-09T10:20:35Z", "updated_at": "2024-09-09T10:20:35Z", }, { "id": "ed4edb94-754c-7848-bb77-2d381906c535", "virsubnet_id": "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "vpc_id": "cef5d621-6c20-d5df-74e8-746271fba734", "ip_version": 4, "cidr": "192.168.21.128/27", "name": "test2", "description": "for test", "project_id": "11e8dd119c77479db890e266e68c1ecf", "created_at": "2024-09-09T11:56:27Z", "updated_at": "2024-09-09T11:56:27Z", } ], "page_info": { "previous_marker": "987d7959-9c48-ad49-2fdd-bf4146d6ebc4", "current_count": 2 }, "request_id": "5cd6bbc22313ccb6933540d6f9302d81" }

URI DELETE /v3/{project_id}/vpc/virsubnet-cidr-reservations/{virsubnet_cidr_reservation_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 virsubnet_cidr_reservation_id 是 String 子网预留网段资源ID。

URI PUT /v3/{project_id}/vpc/virsubnet-cidr-reservations/{virsubnet_cidr_reservation_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 virsubnet_cidr_reservation_id 是 String 子网预留网段资源ID。

请求示例 更新id为ed4edb94-754c-7848-bb77-2d381906c535的子网预留网段，名称更新为name-test-updated，描述更新为description-test-updated。 PUT https://{Endpoint}/v3/{project_id}/vpc/virsubnet-cidr-reservations/ed4edb94-754c-7848-bb77-2d381906c535 { "virsubnet_cidr_reservation" : { "name" : "name-test-updated", "description" : "description-test-updated" } }

响应示例 状态码：200 PUT操作正常返回，更多状态码请参见状态码。 { "virsubnet_cidr_reservation" : { "id" : "ed4edb94-754c-7848-bb77-2d381906c535", "virsubnet_id" : "fb0e2bd6-190f-0d1a-7728-a5f6b1d8dd19", "vpc_id" : "cef5d621-6c20-d5df-74e8-746271fba734", "ip_version" : 4, "cidr" : "192.168.21.96/28", "name" : "name-test-updated", "description" : "description-test-updated", "project_id" : "11e8dd119c77479db890e266e68c1ecf", "created_at" : "2024-09-09T11:56:27Z", "updated_at" : "2024-09-09T12:00:06Z" }, "request_id" : "5e8c57bcfa0bd4798915cb5d7a37c1d9" }

为什么某些云服务的资源存在标签，但无法在Config中使用该资源的标签进行相关的业务操作，例如在“资源清单”中无法通过标签搜索到相应资源？ 部分云服务资源的标签信息暂未上传至Config服务，“资源清单”页面无法获取相关的标签信息则会认为该资源无标签，因此无法通过标签搜索到相应资源。 另外，Config服务的高阶能力基于“资源清单”收集到的数据来进行分析，部分云服务资源的标签信息未上传至Config，还会导致相关资源涉及标签场景的资源合规评估结果可能出现误差。 Config服务将跟踪并持续推动相关云服务资源同步的完整性。

为什么云服务资源发生了变化，“资源清单”中相应资源未发生变化？ 资源数据同步到Config存在延迟。 对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据。如您未开启资源记录器，或相关资源不在资源记录器配置的监控范围内，则Config不会校正这些资源的数据。 另外，并非已对接Config的云服务资源发生的所有变化都会被Config收集，这取决于各对接服务向Config上报的资源属性，例如IAM用户的SK（SecretAccessKey ）属性未上报Config，那么SK字段的变化Config不会感知。

如何获取各对接云服务上报Config的资源属性？ 获取各对接云服务上报Config的资源属性有如下两种方式： 通过Config管理控制台的高级查询功能，进入查询编辑器即可在界面左侧获取，如下步骤仅为进入查询编辑器的其中一种方式。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”。 在左侧的导航栏中，选择“高级查询”。 在“预设查询”列表中单击任一查询操作列的“使用查询”。 图1 使用查询 进入查询编辑器，界面左侧显示各对接云服务资源类型的详细属性，并支持输入资源类型名称进行搜索。 图2 查看资源类型详细属性 通过“列举高级查询Schema”接口获取，其中type字段为资源类型，schema字段为此资源类型上报Config的资源属性。

为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？ 如果界面出现“Failed to write the ConfigWritabilityCheckFile file to the OBS bucket because the OBS bucket or the IAM agency is invalid.”报错，则需要确认如下场景： 资源记录器使用的IAM委托权限中，需要具有OBS服务的“obs:object:PutObject”权限； 将数据存储至当前账号的OBS桶时，桶策略不能显式Deny掉来自IAM委托的PutObject操作（Action）；如果是跨账号存储场景，桶策略需要显式Allow来自IAM委托的PutObject操作（Action），具体请参见跨账号授权，关于桶策略的权限判断逻辑请参见桶策略参数说明； 用于存储的OBS桶是否开启服务端加密。如果已开启服务端加密，则还需要配置KMS的权限，具体请参见资源变更消息和资源快照转储至OBS加密桶。

添加合规规则时，规则参数指的是什么？ 规则参数和合规策略是对应的，例如：您选择了“资源具有指定的标签”预设策略，则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删，但是您可以根据需要为其设置不同的参数值，将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置，您可以根据需要为自定义策略添加不同的规则参数，最多可添加10个。 图1 规则参数赋值

添加“iam-password-policy”、“iam-user-mfa-enabled”等合规规则后，为什么没有合规评估结果？ 资源合规的数据来源于Config服务在资源清单页面所收集到的全部资源。请检查相关资源在资源清单页面中是否正常展示，如未正常展示，可能是由于您没有开启资源记录器导致未收集到相应的资源数据。 如果您需要使用这些合规规则，请开启资源记录器并收集相关的资源数据；如不需要使用这些规则，请停用未收集资源数据对应的合规规则，避免造成混淆或产生不必要的费用。

组织合规规则和组织合规包创建完成后，为什么会在部分组织成员账号中部署异常，且提示“tracker-config needs to be enabled”？ 是因为这些组织成员账号未开启资源记录器导致的部署异常。 Config服务的相关功能均依赖于资源记录器收集的资源数据，因此账号必须开启资源记录器才可正常使用合规规则和合规规则包功能。 在组织合规规则和组织合规规则包场景下，除下发规则和合规规则包的组织管理员或Config服务的委托管理员之外，所部署的组织成员账号也需要开启资源记录器，才能正常下发合规规则和合规规则包。

RDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 RDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问RDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对RDS服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，RDS支持的API授权项请参见策略及授权项说明。 如表1所示，包括了RDS的所有系统权限。 表1 RDS系统策略 策略名称/系统角色 描述 类别 依赖关系 RDS FullAccess 关系型数据库服务所有权限。 系统策略 购买包周期实例需要配置授权项： bss:order:update bss:order:pay 如果要使用存储空间自动扩容功能，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles iam:roles:createRole 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 创建 RAM 共享KMS密钥的包周期实例，依赖IAM权限点： iam:agencies:listAgencies iam:roles:listRoles iam:agencies:pass iam:agencies:createAgency iam:permissions:grantRoleToAgency 其中RDS FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。 由于RDS是Region级服务，而IAM是Global级服务，将RDS FullAccess授权给项目时，需要再授权BSS ServiceAgencyReadPolicy（全局级服务）；如果将RDS FullAccess授权给全部项目，可正常使用IAM权限。 BSS ServiceAgencyCreatePolicy包含其他操作权限：iam:agencies:createAgency、iam:permissions:grantRoleToAgency。 RDS ReadOnlyAccess 关系型数据库服务资源只读权限。 系统策略 无。 RDS ManageAccess 关系型数据库服务除删除操作外的DBA权限。 系统策略 无。 RDS Administrator 关系型数据库服务管理员。 系统角色 依赖Tenant Guest和Server Administrator角色，在同项目中勾选依赖的角色。 仅添加RDS Administrator权限后，如果要使用存储空间自动扩容功能，IAM子账号需要添加的授权项请参见表3中的存储空间自动扩容的说明。 表2列出了RDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 RDS FullAccess RDS ReadOnlyAccess RDS ManageAccess RDS Administrator 创建RDS实例 √ x √ √ 删除RDS实例 √ x x √ 查询RDS实例列表 √ √ √ √ 表3 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 购买包周期实例需要配置： bss:order:update bss:order:pay 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc:*:get和vpc:*:list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余ip列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网ip需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网 域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明 数据加密 （Transparent Data Encryption，TDE）权限 rds:instance:tde 无。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例binlog清理策略 rds:binlog:get 无。 合并binlog文件 rds:binlog:merge 无。 下载binlog文件 rds:binlog:download 无。 删除binlog文件 rds:binlog:delete 无。 设置binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。 包周期下单 bss:order:update 购买包周期实例需要配置授权项： bss:order:pay 用户标签操作 rds:instance:modify 标签相关操作依赖tms:resourceTags:*权限。 存储空间自动扩容 rds:instance:extendSpace 如果选择自动扩容，IAM主账号不需要添加授权项，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles iam:roles:createRole 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 停止实例、开启实例 rds:instance:operateServer 无。 停止实例 rds:instance:stop 无。 开启实例 rds:instance:start 无。 修改数据库用户名备注 rds:databaseUser:update 无。