大装置内置角色
角色管理
您可以在本文档中查阅大装置用户访问控制中的所有内置角色及角色所包含的权限。
大装置内置角色
| 内置角色 | 说明 | ID |
|---|---|---|
| 用户访问控制 | ||
| 用户管理员 | 拥有用户访问控制的完全访问权限。可以管理用户、用户组,为用户授权。 | 00000001-741b-aa23-afca-e762166d8711 |
| 用户组协管员 | 拥有授权范围内所有用户组的管理权限,但不能创建或删除用户组。 | 4ee25de1-4902-4975-ae04-27268f964c5e |
| 用户组查看者(默认) | 拥有对用户组的查看权限。 | e52017b3-98de-0360-367b-50bf25dff6f8 |
| 费用管理 | ||
| 费用管理员 | 拥有费用中心的完全访问权限。 | 00000003-741b-aa23-afca-e723166d8711 |
| 资源管理 | ||
| 根管理组管理员 | 拥有授权范围内所有管理组的完全访问权限。可以查看和修改授权管理组信息,并管理其下所有子管理组、订阅、资源组和资源。 | 00000002-741b-aa23-afca-e734166d8711 |
| 订阅管理员 | 拥有授权范围内所有订阅的完全访问权限。可以管理授权管理组下的所有订阅、资源组和资源。 | 00000002-741b-aa23-afca-e734166d8712 |
| 订阅协管员 | 拥有授权范围内所有订阅的管理权限,但不能创建订阅。可以管理授权订阅下的所有资源组和资源。 | 00000002-741b-aa23-afca-e784166d8713 |
| 资源组协管员 | 拥有授权范围内所有资源组的管理权限,但不能创建资源组。可以管理授权订阅下的所有资源。 | 00000002-741b-aa23-afca-e734166d8714 |
| 弹性计算集群 AEC2 | ||
| 弹性计算集群实例管理员 | 拥有授权范围内所有弹性计算集群实例的完全访问权限。 | 3cec91a4-1f2a-49f4-b8ba-8509e0176d99 |
| 弹性计算集群实例维护者 | 拥有对弹性计算集群实例的完全访问权限。 | 0dff87b0-9ab7-4983-a40f-e83acd4fbc9d |
| 弹性计算集群查看者 | 拥有对弹性计算集群的查看权限。 | 9a6ebfc2-29b7-4f42-b982-68132e351f0a |
| 弹性计算集群工作空间管理员 | 可以创建弹性计算集群工作空间,拥有授权范围内所有工作空间的完全访问权限。 | ec9d6457-cc5c-e2d6-d1d1-d4fa2ad61687 |
| 弹性计算集群工作空间所有者 | 拥有对弹性计算集群工作空间及数据的完全访问权限。 | 580f0a4a-e2d4-5114-9e0b-31d3e8a91cd5 |
| 弹性计算集群工作空间高优用户 | 可以在弹性计算集群工作空间内使用算力池任务和容器应用,设置算力池任务和容器应用优先级为高优。 | bfaf19ee-aa42-4aba-99da-454f22868344 |
| 弹性计算集群工作空间用户 | 可以在弹性计算集群工作空间内使用算力池任务和容器应用。 | 85bbdd69-fa51-ad03-a1e9-d3988c86ea00 |
| 弹性计算集群工作空间配置项所有者(默认) | 可以在弹性计算集群工作空间内管理自己创建的配置项。 | 29223fde-d336-47c4-b700-d380c573a504 |
| 弹性计算集群工作空间密钥所有者(默认) | 可以在弹性计算集群工作空间内管理自己创建的密钥。 | 803556df-7c8b-492f-bb58-ec87f18fd6ae |
| 高性能算力池 ACP | ||
| 算力池任务所有者(默认) | 可以在算力池工作空间内管理自己的训练任务。 | 3b9ea74f-09ce-d0c7-dfa9-827b2163cac2 |
| 算力池任务高优用户 | 可以在弹性计算集群工作空间内使用算力池任务,设置算力池任务为高优。 | 3d236f05-7d89-460b-a1b3-7b1f387547ca |
| 算力池任务用户 | 可以在弹性计算集群工作空间内使用算力池任务。 | 1e0b9433-6ed4-4443-a45d-cad349b463d6 |
| 云容器实例 CCI | ||
| 容器应用所有者(默认) | 可以在算力池工作空间内管理自己的容器应用。 | bed3e9cc-2013-4696-b3c0-97e76bcb79a4 |
| 容器应用高优用户 | 可以在弹性计算集群工作空间内使用容器应用和配置项、密钥,将容器应用优先级设置为高优。 | |
| 容器应用用户 | 可以在弹性计算集群工作空间内使用容器应用和配置项、密钥。 | 72770894-ff35-4374-a320-c0f2b7f7224f |
| 容器应用查看者 | 可以在弹性计算集群工作空间内查看容器应用及配置项、密钥、弹性伸缩信息。 | 202be151-f335-4f9c-b26b-8c08182183a5 |
| 云服务器 ECS | ||
| 云服务器管理员 | 拥有授权范围内所有云服务器实例的完全访问权限。 | e1b97f53-e6ee-459a-bb12-a0d196829290 |
| 云服务器创建者 | 可以创建云服务器实例。 | 1c491ef2-7d92-41fe-b08e-a82d0c00ef66 |
| 云服务器所有者 | 拥有对云服务器实例的完全访问权限。 | 6a80c6e3-594a-4055-8953-79422c270617 |
| 弹性裸金属服务器 BMS | ||
| 弹性裸金属服务器管理员 | 拥有授权范围内所有裸金属服务器实例的完全访问权限。 | 62486e92-b556-43a3-8289-347f8fb59a16 |
| 弹性裸金属服务器创建者 | 可以创建裸金属服务器实例。 | a8e08a0b-0965-4046-9ad8-1cd812f3434f |
| 弹性裸金属服务器所有者 | 拥有对裸金属服务器实例的完全访问权限。 | ef31005a-6070-4955-b193-9d9827ad6d77 |
| 对象存储 AOSS | ||
| 禁止创建桶角色 | 授权后将无法在资源包下创建桶。 | 1971a44d-64e5-4c9e-89f2-bd68b2a58126 |
| 对象存储用户(默认) | 拥有对资源包的查看权限。 | f1b610dd-72fe-a493-b9e9-8a1a1f8ae21e |
| 文件存储 AFS | ||
| 文件系统创建者 | 可以创建文件系统。 | c7b4d913-741b-aa13-afba-e703166d8711 |
| 文件系统所有者 | 拥有对文件系统的完全访问权限。 | e9ad8e8c-741b-aa23-afca-e713167d8712 |
| 文件系统开发者 | 拥有对文件系统的使用权限。 | 1a25ba85-c97e-4e8e-ba7f-494178a697b6 |
| 文件系统读者 | 拥有对文件系统的只读权限。 | e8acd3ff-741b-ab23-afca-e723166d8713 |
| 块存储 ABS | ||
| 块存储创建者 | 可以创建块存储。 | 73be14f8-6b8b-473a-9847-8f63b2f26dcc |
| 块存储所有者 | 拥有对块存储的完全访问权限。 | 49f9ec7d-f8b1-4670-96b9-d57e9186adb4 |
| 缓存服务 ACS | ||
| 缓存服务创建者 | 可以创建缓存服务。 | 7d45fcdd-7225-41bc-51a6-d322daab87bf |
| 缓存服务所有者 | 拥有对缓存服务的完全访问权限。 | e8d142e1-2a27-2699-e3c4-afb7202ef81c |
| 缓存服务使用者 | 拥有对缓存服务使用权限。 | f279eaca-bce2-9c8e-614c-138a6a874a8e |
| 数据同步工具 ADS | ||
| AI存储数据同步工具创建者 | 可以创建AI存储数据同步工具。 | 54751cc3-3305-0b21-e965-271196f7cadb |
| AI存储数据同步工具所有者 | 拥有对AI存储数据同步工具的完全访问权限。 | 168bd960-bd56-06a2-8523-e81861e20032 |
| 私有网络 VPC | ||
| 私有网络管理员 | 拥有授权范围内所有私有网络VPC的完全访问权限。 | bc667681-ad7c-5292-64fd-4da46138d0b0 |
| 私有网络操作员 | 拥有对私有网络VPC的操作权限,允许查看和修改私有网络VPC。 | d09129e9-f5a3-072b-1bf8-f881709a9099 |
| 弹性公网IP EIP | ||
| 弹性公网IP管理员 | 拥有授权范围内所有弹性公网IP及EIP规则的完全访问权限。 | 84fb6842-720f-7d73-8895-59aae8cf934b |
| 弹性公网IP操作员 | 拥有对修改弹性公网IP和EIP规则的操作权限,允许查看和修改弹性公网IP和EIP规则。 | 5f6146ff-0434-0948-ae6a-4a4823b5a239 |
| 负载均衡 SLB | ||
| 负载均衡管理员 | 拥有授权范围内所有负载均衡器的完全访问权限。 | 6202e4ec-4c97-493c-8448-040e0115f494 |
| 负载均衡操作员 | 拥有对负载均衡器的操作权限,允许查看和修改负载均衡器。 | fe669dab-1dd7-41a3-9612-a33ce43c1f17 |
| 负载均衡查看者(默认) | 拥有对负载均衡器的查看权限。 | 7670e1b0-f5d7-4a5d-b114-4e6d199c01e7 |
| 专线接入 DC | ||
| 专线接入管理员 | 拥有授权范围内专线接入的完全访问权限。 | 1c0b478a-65f9-4667-a714-bf99830ed864 |
| 专线接入查看者 | 拥有对专线接入的查看权限。 | e5d75cd0-017b-495e-a68b-b7daa2457839 |
| 数据管理平台 AIDMP | ||
| 数据空间创建者 | 可以创建数据空间。 | 6acfb8c5-5681-55e9-96e6-25c918f69f14 |
| 数据空间管理员 | 拥有对数据空间的完全访问权限。 | 64b0f083-e37d-cff3-b407-ac2e4cc72677 |
| 数据空间用户 | 拥有对工作空间的查看权限。 | 8051b983-86e8-c9ce-3e14-69fe7ee3bae5 |
| 数据管理平台安全运营者 | 拥有对授权文件、数据合规性的审核权限。 | 44a17f53-41e5-4cbf-a353-5ff5f870b12e |
| 数据标注平台 AAS | ||
| 数据标注平台管理员 | 拥有对所有项目完全访问权限。 | ad4c8fb4-fdb5-5aed-c446-958ae363064a |
| 数据标注平台项目创建者 | 可以创建数据标注平台项目。 | bf3b6b0f-32cb-f174-5d71-6955348cb695 |
| 数据标注平台项目创建者(默认) | 可以在默认资源组创建数据标注平台项目。 | a2525af6-12fc-4863-a4bf-afad4e2a367c |
| 数据标注平台项目管理员 | 拥有对某个项目完全访问权限。 | d257340c-f289-0042-bf7b-42fbd9288313 |
| 数据标注平台项目成员 | 拥有对数据标注平台项目的查看权限。 | 9d65239f-eaee-e745-a983-a6f51cc86932 |
| 万象模型开发平台 ModelStudio | ||
| ModelStudio 资源管理员 | 拥有对授权范围资源的完全访问权限。 | 150a888a-0454-48a2-997c-e39e9a63ab71 |
| 模型开发资源创建者 | 可以创建 ModelStudio下的各类资源,如模型空间、云开发机、推理服务等。 | 92bb1281-6954-4a08-a74a-8d1f7f173af4 |
| 模型开发资源所有者 | 拥有对所创建 ModelStudio 资源的完全访问权限。 | 9aacfb59-23a2-40cc-982a-fefff017e481 |
| 模型开发资源维护者 | 拥有对 ModelStudio 指定资源的管理权限。 | 268c0a72-c8e6-4176-8c31-684bbf57a2d1 |
| 开发机资源用户 | 拥有对 ModelStudio 开发机资源的查看及使用权限。 | b2a653e7-ea78-4ff1-92dd-363de459c1cd |
| 模型管理查看者 | 拥有对 ModelStudio 模型管理资源的查看权限。 | 9aec7e64-79eb-fed7-95e1-5f75579eb54c |
| 知识库用户 | 拥有对知识库模型服务的访问权限。 | 943c3957-d2ac-479e-be4c-5b5ef5e2b40e |
| 日日新大模型开放平台 SenseNova | ||
| SenseNova用户(默认) | 拥有授权范围内所有 Nova API 的查看权限。 | b8b76b89-0091-4347-96ea-cda72f5be885 |
| 云监控服务 CMS | ||
| 云监控监控仓库创建者 | 可以创建云监控监控仓库。 | 2fc3d3c3-0ec9-45c3-9561-9671b772340c |
| 云监控监控仓库所有者 | 拥有对监控仓库的完全访问权限。 | 01740439-34f8-4c3c-b434-fbf9368a8090 |
| 云监控监控仓库查看者 | 拥有对监控仓库的查看权限。 | 0b4d6e50-bd53-4754-ba0e-a13c1f77a0f6 |
| 云监控监控仓库数据所有者 | 拥有对监控仓库数据的读写权限。 | 5ee9d382-50b3-4fa8-b71b-4024a5831c1c |
| 容器镜像服务 CCR | ||
| 命名空间创建者 | 可以创建命名空间。 | 5955df86-3b24-ba19-0ce4-661f57940499 |
| 命名空间所有者 | 拥有命名空间的完全访问权限。 | 972bb96f-9e61-e703-37a8-acb0d53e0ef6 |
| 命名空间开发者 | 拥有命名空间内镜像的操作权限,可进行镜像的上传、拉取和删除操作。 | 4990d7db-2c89-339a-dd54-18244ce10f84 |
| 云审计服务 CTS | ||
| 云审计员 | 允许审计租户内的操作日志。 | 9b0a0d82-0d2b-4f3d-68a3-4694785eeb8f |
角色定义
用户访问控制
用户管理员
拥有用户访问控制的完全访问权限。可以管理用户、用户组,为用户授权。
此角色的生效范围为:用户访问控制-全局范围
| 权限 | 描述 |
|---|---|
| iam.tenant.syncUser | 允许同步租户内用户信息 |
| iam.tenant.addConfig | 允许设置租户配置 |
| iam.tenant.getSecurity | 允许获取租户安全设置信息 |
| iam.tenant.updateSecurity | 允许修改或更新租户安全设置信息 |
| iam.principal.* | 允许查询主体列表 |
| iam.user.* | 允许拥有用户任意权限 |
| iam.group.* | 允许拥有用户组任意权限 |
| iam.role.* | 允许拥有角色任意权限 |
| iam.policy.* | 允许拥有权限策略任意权限 |
用户组协管员
拥有授权范围内所有用户组的管理权限,但不能创建或删除用户组。
此角色的生效范围为:用户访问控制-用户组
| 权限 | 描述 |
|---|---|
| iam.group.get | 允许获取用户组信息 |
| iam.group.update | 允许修改或更新用户组信息 |
| iam.group.getUsers | 允许获取组成员信息 |
| iam.group.addUsers | 允许添加组成员 |
| iam.group.removeUsers | 允许移除组成员 |
| iam.policy.get | 允许获取权限策略信息 |
| iam.principal.* | 允许查询主体列表 |
用户组查看者(默认)
拥有对用户组的查看权限。该角色无需主动授权,用户被授权用户组协管员时系统将自动为用户授权该角色。
此角色的生效范围为:用户访问控制-全局范围
| 权限 | 描述 |
|---|---|
| iam.group.list | 允许查询用户组列表 |
费用管理
费用管理员
拥有费用中心的完全访问权限。
此角色的生效范围为:费用管理
| 权限 | 描述 |
|---|---|
| boss.bill.* | 允许拥有账单任意权限 |
| boss.billingAccount.create | 允许创建费用账户 |
| boss.billingAccount.get | 允许获取费用账户信息 |
| boss.billingAccount.list | 允许查询费用账户列表 |
| boss.billingAccount.update | 允许修改或更新费用账户 |
| boss.billingAccount.subscriptionOperate | 允许操作计费账户关联订阅 |
| boss.voucherInstance.get | 允许拥有账户收支趋势、明细任意权限 |
| boss.voucherInstance.list | 允许查看账户收支趋势、明细 |
| boss.statements.* | 允许导出账户收支趋势、明细 |
| boss.message.orderReceive | 允许接受订单消息通知 |
| finance.invoice.* | 允许拥有发票任意权限 |
| finance.confirmbill.* | 允许拥有确收账单任意权限 |
| finance.invoiceinfo.* | 允许拥有租户发票抬头信息任意权限 |
资源管理
管理组管理员
拥有授权范围内所有管理组的完全访问权限。可以查看和修改授权管理组信息,并管理其下所有子管理组、订阅、资源组和资源。
此角色的生效范围为:资源管理-管理组
| 权限 | 描述 |
|---|---|
| rm.managementGroup.* | 允许拥有管理组任意权限 |
| rm.subscription.* | 允许拥有订阅任意权限 |
| rm.resourceGroup.* | 允许拥有资源组任意权限 |
| rm.resource.* | 允许查询资源组下资源列表 |
| rm.tag.* | 允许拥有标签任意权限 |
| boss.bill.* | 允许拥有账单任意权限 |
| boss.billingAccount.get | 允许获取费用账户信息 |
| boss.voucherInstance.get | 允许获取代金券实例信息 |
| boss.voucherInstance.list | 允许查询代金券实例列表 |
| iam.principal.* | 允许查询主体列表 |
| aec2.instance.* | 允许拥有弹性计算集群实例的任意权限 |
| acn.instance.* | 允许拥有高性能AI计算节点实例的任意权限 |
| workspace.instance.* | 允许拥有算力池工作空间的任意权限 |
| workspace.trainingJob.* | 允许拥有算力池训练任务的任意权限 |
| workspace.app.* | 允许拥有云容器实例应用的任意权限 |
| workspace.configmap.* | 允许查看工作空间密钥列表 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许拥有缓存服务任意权限 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| workspace.as.* | 允许拥有工作空间弹性伸缩完全访问权限 |
| ecs.instance.* | 允许拥有云服务器资源任意权限 |
| bms.instance.* | 允许拥有裸金属服务器资源任意权限 |
| afs.volume.* | 允许拥有文件系统任意权限 |
| abs.disk.* | 允许拥有块存储任意权限 |
| acs.cache.* | 允许拥有缓存服务任意权限 |
| ccr.namespace.* | 允许拥有资源包任意权限 |
| ads.instance.* | 允许拥有数据同步工具任意权限 |
| vpc.vpc.* | 允许拥有私有网络任意权限 |
| eip.eip.* | 允许拥有弹性公网IP和EIP规则任意权限 |
| slb.slb.* | 允许拥有负载均衡器任意权限 |
| dc.dcpl.* | 允许拥有物理线路任意权限 |
| aidmp.workspace.* | 允许拥有工作空间任意权限 |
| aas.project.* | 允许拥有项目任意权限 |
| amp.modelSpace.* | 允许拥有模型空间的任意权限 |
| aicl.instance.* | 允许拥有云开发机实例任意权限 |
| ams.inferenceService.* | 允许拥有自定义推理服务的任意权限 |
| tr.telemetryRepo.* | 允许拥有云监控监控仓库任意权限 |
| ccr.namespace.* | 允许拥有容器镜像命名空间任意权限 |
订阅管理员
拥有授权范围内所有订阅的完全访问权限。可以管理授权管理组下的所有订阅、资源组和资源。
此角色的生效范围为:资源管理-管理组
| 权限 | 描述 |
|---|---|
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.managementGroup.update | 允许修改管理组 |
| rm.subscription.* | 允许拥有订阅任意权限 |
| rm.resourceGroup.* | 允许拥有资源组任意权限 |
| rm.resource.* | 允许查询资源组下资源列表 |
| rm.tag.* | 允许拥有标签任意权限 |
| boss.bill.* | 允许拥有账单任意权限 |
| boss.billingAccount.get | 允许获取费用账户信息 |
| boss.billingAccount.list | 允许查询费用账户列表 |
| boss.voucherInstance.get | 允许获取代金券实例信息 |
| boss.voucherInstance.list | 允许查询代金券实例列表 |
| iam.principal.* | 允许查询主体列表 |
| aec2.instance.* | 允许拥有弹性计算集群实例的任意权限 |
| acn.instance.* | 允许拥有高性能AI计算节点实例的任意权限 |
| workspace.instance.* | 允许拥有算力池工作空间的任意权限 |
| workspace.trainingJob.* | 允许拥有算力池训练任务的任意权限 |
| workspace.app.* | 允许拥有云容器实例应用的任意权限 |
| workspace.configmap.* | 允许查看工作空间密钥列表 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许拥有缓存服务任意权限 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| workspace.as.* | 允许拥有工作空间弹性伸缩完全访问权限 |
| ecs.instance.* | 允许拥有云服务器资源任意权限 |
| bms.instance.* | 允许拥有裸金属服务器资源任意权限 |
| afs.volume.* | 允许拥有文件系统任意权限 |
| abs.disk.* | 允许拥有块存储任意权限 |
| acs.cache.* | 允许拥有缓存服务任意权限 |
| ccr.namespace.* | 允许拥有资源包任意权限 |
| ads.instance.* | 允许拥有数据同步工具任意权限 |
| vpc.vpc.* | 允许拥有私有网络任意权限 |
| eip.eip.* | 允许拥有弹性公网IP和EIP规则任意权限 |
| slb.slb.* | 允许拥有负载均衡器任意权限 |
| dc.dcpl.* | 允许拥有物理线路任意权限 |
| aidmp.workspace.* | 允许拥有工作空间任意权限 |
| aas.project.* | 允许拥有项目任意权限 |
| amp.modelSpace.* | 允许拥有模型空间的任意权限 |
| aicl.instance.* | 允许拥有云开发机实例任意权限 |
| ams.inferenceService.* | 允许拥有自定义推理服务的任意权限 |
| tr.telemetryRepo.* | 允许拥有云监控监控仓库任意权限 |
| ccr.namespace.* | 允许拥有容器镜像命名空间任意权限 |
订阅协管员
拥有授权范围内所有订阅的管理权限,但不能创建订阅。可以管理授权订阅下的所有资源组和资源。
此角色的生效范围为:资源管理-管理组/订阅
您可授予此角色的最低资源层级为:订阅
| 权限 | 描述 |
|---|---|
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.subscription.update | 允许修改订阅 |
| rm.resourceGroup.* | 允许拥有资源组任意权限 |
| rm.resource.* | 允许查询资源组下资源列表 |
| rm.tag.* | 允许拥有标签任意权限 |
| boss.bill.* | 允许拥有账单任意权限 |
| boss.billingAccount.get | 允许获取费用账户信息 |
| boss.billingAccount.list | 允许查询费用账户列表 |
| boss.voucherInstance.get | 允许获取代金券实例信息 |
| boss.voucherInstance.list | 允许查询代金券实例列表 |
| iam.principal.* | 允许查询主体列表 |
| aec2.instance.* | 允许拥有弹性计算集群实例的任意权限 |
| acn.instance.* | 允许拥有高性能AI计算节点实例的任意权限 |
| workspace.instance.* | 允许拥有算力池工作空间的任意权限 |
| workspace.trainingJob.* | 允许拥有算力池训练任务的任意权限 |
| workspace.app.* | 允许拥有云容器实例应用的任意权限 |
| workspace.configmap.* | 允许查看工作空间密钥列表 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许拥有缓存服务任意权限 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| workspace.as.* | 允许拥有工作空间弹性伸缩完全访问权限 |
| ecs.instance.* | 允许拥有云服务器资源任意权限 |
| bms.instance.* | 允许拥有裸金属服务器资源任意权限 |
| afs.volume.* | 允许拥有文件系统任意权限 |
| abs.disk.* | 允许拥有块存储任意权限 |
| acs.cache.* | 允许拥有缓存服务任意权限 |
| ccr.namespace.* | 允许拥有资源包任意权限 |
| ads.instance.* | 允许拥有数据同步工具任意权限 |
| vpc.vpc.* | 允许拥有私有网络任意权限 |
| eip.eip.* | 允许拥有弹性公网IP和EIP规则任意权限 |
| slb.slb.* | 允许拥有负载均衡器任意权限 |
| dc.dcpl.* | 允许拥有物理线路任意权限 |
| aidmp.workspace.* | 允许拥有工作空间任意权限 |
| aas.project.* | 允许拥有项目任意权限 |
| amp.modelSpace.* | 允许拥有模型空间的任意权限 |
| aicl.instance.* | 允许拥有云开发机实例任意权限 |
| ams.inferenceService.* | 允许拥有自定义推理服务的任意权限 |
| tr.telemetryRepo.* | 允许拥有云监控监控仓库任意权限 |
| ccr.namespace.* | 允许拥有容器镜像命名空间任意权限 |
资源组协管员
拥有授权范围内所有资源组的管理权限,但不能创建资源组。可以管理授权订阅下的所有资源。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.list | 允许查询订阅下资源组列表 |
| rm.resourceGroup.update | 允许修改资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| rm.resource.* | 允许查询资源组下资源列表 |
| rm.tag.* | 允许拥有标签任意权限 |
| boss.bill.list | 允许查询账单列表 |
| boss.bill.get | 允许获取账单明细 |
| iam.principal.* | 允许查询主体列表 |
| aec2.instance.* | 允许拥有弹性计算集群实例的任意权限 |
| acn.instance.* | 允许拥有高性能AI计算节点实例的任意权限 |
| workspace.instance.* | 允许拥有算力池工作空间的任意权限 |
| workspace.trainingJob.* | 允许拥有算力池训练任务的任意权限 |
| workspace.app.* | 允许拥有云容器实例应用的任意权限 |
| workspace.configmap.* | 允许查看工作空间密钥列表 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许拥有缓存服务任意权限 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| workspace.as.* | 允许拥有工作空间弹性伸缩完全访问权限 |
| ecs.instance.* | 允许拥有云服务器资源任意权限 |
| bms.instance.* | 允许拥有裸金属服务器资源任意权限 |
| afs.volume.* | 允许拥有文件系统任意权限 |
| abs.disk.* | 允许拥有块存储任意权限 |
| acs.cache.* | 允许拥有缓存服务任意权限 |
| ccr.namespace.* | 允许拥有资源包任意权限 |
| ads.instance.* | 允许拥有数据同步工具任意权限 |
| vpc.vpc.* | 允许拥有私有网络任意权限 |
| eip.eip.* | 允许拥有弹性公网IP和EIP规则任意权限 |
| slb.slb.* | 允许拥有负载均衡器任意权限 |
| dc.dcpl.* | 允许拥有物理线路任意权限 |
| aidmp.workspace.* | 允许拥有工作空间任意权限 |
| aas.project.* | 允许拥有项目任意权限 |
| amp.modelSpace.* | 允许拥有模型空间的任意权限 |
| aicl.instance.* | 允许拥有云开发机实例任意权限 |
| ams.inferenceService.* | 允许拥有自定义推理服务的任意权限 |
| tr.telemetryRepo.* | 允许拥有云监控监控仓库任意权限 |
| ccr.namespace.* | 允许拥有容器镜像命名空间任意权限 |
弹性计算集群 AEC2
弹性计算集群实例管理员
拥有授权范围内所有弹性计算集群实例的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aec2.instance.ownData | 允许拥有弹性计算集群实例完全访问权限 |
| aec2.instance.create | 允许创建弹性计算集群实例 |
| aec2.instance.get | 允许查看弹性计算集群实例详情 |
| aec2.instance.list | 允许查询弹性计算集群实例列表 |
| aec2.instance.update | 允许更新弹性计算集群实例配置 |
| aec2.instance.delete | 允许删除弹性计算集群实例 |
| acn.instance.get | 允许查看弹性计算集群实例详情 |
| acn.instance.list | 允许查询弹性计算集群实例列表 |
| workspace.instance.get | 允许查看弹性计算集群工作空间详情 |
| workspace.instance.list | 允许查看弹性计算集群工作空间列表 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| aec2.instance.setIamPolicy | 允许授予弹性计算集群实例权限 |
| aec2.instance.unSetIamPolicy | 允许移除弹性计算集群实例权限 |
| workspace.instance.setIamPolicy | 允许授予弹性计算集群工作空间权限 |
| workspace.instance.unSetIamPolicy | 允许移除弹性计算集群工作空间权限 |
弹性计算集群实例维护者
拥有对弹性计算集群实例的操作权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aec2.instance.get | 允许查看弹性计算集群实例详情 |
| aec2.instance.list | 允许查询弹性计算集群实例列表 |
| aec2.instance.update | 允许更新弹性计算集群实例配置 |
弹性计算集群查看者
拥有对弹性计算集群的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aec2.instance.get | 允许查看弹性计算集群实例详情 |
| aec2.instance.list | 允许查询弹性计算集群实例列表 |
弹性计算集群工作空间管理员
可以创建弹性计算集群工作空间,拥有授权范围内所有工作空间的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aec2.instance.get | 允许查看弹性计算集群实例详情 |
| aec2.instance.list | 允许查询弹性计算集群实例列表 |
| workspace.instance.create | 允许创建弹性计算集群工作空间 |
| workspace.instance.get | 允许查看弹性计算集群工作空间详情 |
| workspace.instance.list | 允许查看弹性计算集群工作空间列表 |
| workspace.instance.update | 允许更新弹性计算集群工作空间的配置 |
| workspace.instance.delete | 允许删除弹性计算集群工作空间 |
| workspace.instance.unsubscribe | 允许退订弹性计算集群工作空间实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| workspace.instance.setIamPolicy | 允许授予弹性计算集群工作空间权限 |
| workspace.instance.unSetIamPolicy | 允许移除弹性计算集群工作空间权限 |
弹性计算集群工作空间所有者
拥有对弹性计算集群工作空间及数据的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.ownData | 允许拥有弹性计算集群工作空间完全访问权限 |
| workspace.instance.get | 允许查看弹性计算集群工作空间详情 |
| workspace.trainingJob.create | 允许创建算力池训练任务 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
| workspace.trainingJob.update | 允许停止和重启算力池训练任务 |
| workspace.trainingJob.delete | 允许删除算力池训练任务 |
| workspace.trainingJob.setHighPriority | 允许设置任务优先级为高优 |
| workspace.trainingJob.setHighestPriority | 允许设置任务优先级为最高 |
| workspace.app.create | 允许创建云容器实例应用 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.app.update | 允许更新、停止和启动云容器实例应用 |
| workspace.app.delete | 允许删除云容器实例应用 |
| workspace.app.setHighPriority | 允许设置云容器实例应用优先级为高优 |
| workspace.app.setHighPriority | 允许设置云容器实例应用优先级为最高 |
| workspace.configmap.create | 允许创建工作空间配置项 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.update | 允许修改工作空间配置项 |
| workspace.configmap.delete | 允许删除工作空间配置项 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| workspace.instance.setIamPolicy | 允许授予弹性计算集群工作空间权限 |
| workspace.instance.unSetIamPolicy | 允许移除弹性计算集群工作空间权限 |
弹性计算集群工作空间高优用户
可以在弹性计算集群工作空间内使用算力池任务和容器应用,设置算力池任务和容器应用优先级为高优。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间详情 |
| workspace.trainingJob.create | 允许创建算力池训练任务 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
| workspace.trainingJob.setHighPriority | 允许设置任务优先级为高优 |
| workspace.app.create | 允许创建云容器实例应用 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.app.setHighPriority | 允许设置云容器实例应用优先级为高优 |
| workspace.configmap.create | 允许创建工作空间配置项 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
弹性计算集群工作空间用户
可以在弹性计算集群工作空间内管理训练任务。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间详情 |
| workspace.trainingJob.create | 允许创建算力池训练任务 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
| workspace.app.create | 允许创建云容器实例应用 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.configmap.create | 允许创建工作空间配置项 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
弹性计算集群工作空间配置项所有者(默认)
可以在弹性计算集群工作空间内管理自己创建的配置项。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.configmap.ownData | 允许拥有工作空间配置项完全访问权限 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.update | 允许修改工作空间配置项 |
| workspace.configmap.delete | 允许删除工作空间配置项 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
弹性计算集群工作空间密钥所有者(默认)
可以在弹性计算集群工作空间内管理自己创建的密钥。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.secret.ownData | 允许拥有工作空间密钥完全访问权限 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
| workspace.secret.update | 允许修改工作空间密钥 |
| workspace.secret.delete | 允许删除工作空间密钥 |
| workspace.secret.mount | 允许将工作空间密钥挂载至容器应用或算力池任务 |
高性能算力池 ACP
算力池任务所有者(默认)
可以在算力池工作空间内管理自己的训练任务。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.trainingJob.ownData | 允许拥有算力池训练任务完全访问权限 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
| workspace.trainingJob.update | 允许停止和重启算力池训练任务 |
| workspace.trainingJob.delete | 允许删除算力池训练任务 |
算力池任务高优用户
可以在弹性计算集群工作空间内使用算力池任务,设置算力池任务为高优。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间实例详情 |
| workspace.trainingJob.create | 允许创建算力池训练任务 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
| workspace.trainingJob.setHighPriority | 允许设置任务优先级为高优 |
算力池任务用户
可以在弹性计算集群工作空间内使用算力池任务。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间实例详情 |
| workspace.trainingJob.create | 允许创建算力池训练任务 |
| workspace.trainingJob.get | 允许查看算力池训练任务的详情 |
| workspace.trainingJob.list | 允许查看算力池训练任务列表 |
云容器实例 CCI
容器应用所有者(默认)
可以在算力池工作空间内管理自己的容器应用。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.app.ownData | 允许拥有云容器实例应用完全访问权限 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.app.update | 允许更新、停止和启动云容器实例应用 |
| workspace.app.delete | 允许删除云容器实例应用 |
| workspace.as.ownData | 允许拥有工作空间弹性伸缩完全访问权限 |
| workspace.as.get | 允许查看工作空间弹性伸缩策略的详情内容 |
| workspace.as.list | 允许查看工作空间弹性伸缩策略列表 |
| workspace.as.update | 允许创建、修改、删除工作空间弹性伸缩策略及配置 |
容器应用高优用户
可以在弹性计算集群工作空间内使用容器应用和配置项、密钥、弹性伸缩信息,将容器应用优先级设置为高优。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间实例详情 |
| workspace.app.create | 允许创建云容器实例应用 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.app.setHighPriority | 允许设置任务优先级为高优 |
| workspace.configmap.create | 允许设置任务优先级为最高 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
| workspace.as.create | 允许开启应用弹性伸缩 |
| workspace.as.get | 允许查看工作空间弹性伸缩策略的详情内容 |
| workspace.as.list | 允许查看工作空间弹性伸缩策略列表 |
容器应用用户
可以在弹性计算集群工作空间内使用容器应用及配置项、密钥、弹性伸缩信息。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间实例详情 |
| workspace.app.create | 允许创建云容器实例应用 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.configmap.create | 允许设置任务优先级为最高 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.configmap.mount | 允许将工作空间配置项挂载至容器应用或算力池任务 |
| workspace.secret.create | 允许创建工作空间密钥 |
| workspace.secret.get | 允许查看工作空间密钥的详情页 |
| workspace.as.create | 允许开启应用弹性伸缩 |
| workspace.as.get | 允许查看工作空间弹性伸缩策略的详情内容 |
| workspace.as.list | 允许查看工作空间弹性伸缩策略列表 |
容器应用查看者
可以在弹性计算集群工作空间内查看容器应用及配置项、密钥、弹性伸缩信息。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| workspace.instance.get | 允许查看弹性计算集群工作空间实例详情 |
| workspace.app.get | 允许查看云容器实例应用的详情 |
| workspace.app.list | 允许查看云容器实例应用列表 |
| workspace.configmap.get | 允许查看工作空间配置项的详情页内容 |
| workspace.configmap.list | 允许查看工作空间配置项列表 |
| workspace.secret.get | 允许查看工作空间密钥的详情页内容 |
| workspace.secret.list | 允许查看工作空间密钥列表 |
| workspace.as.get | 允许查看工作空间弹性伸缩策略的详情内容 |
| workspace.as.list | 允许查看工作空间弹性伸缩策略列表 |
云服务器 ECS
云服务器管理员
拥有授权范围内所有云服务器实例的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| ecs.instance.create | 允许创建云服务器实例 |
| ecs.instance.get | 允许查询目标云服务器实例 |
| ecs.instance.list | 允许查询云服务器实例列表 |
| ecs.instance.update | 允许修改云服务器实例配置 |
| ecs.instance.delete | 允许释放云服务器实例 |
| ecs.instance.stop | 允许关停云服务器实例 |
| ecs.instance.boot | 允许启动云服务器实例 |
| ecs.instance.reboot | 允许重新启动云服务器实例 |
| ecs.instance.reset | 允许重装云服务器实例 |
| ecs.instance.renew | 允许续订云服务器实例 |
| ecs.instance.unsubscribe | 允许退订云服务器实例 |
| ecs.instance.resize | 允许升降配云服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| ecs.instance.setIamPolicy | 允许授予云服务器实例权限 |
| ecs.instance.unSetIamPolicy | 允许移除云服务器实例权限 |
云服务器创建者
可以创建云服务器实例。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| ecs.instance.create | 允许创建云服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
云服务器所有者
拥有对云服务器实例的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| ecs.instance.ownData | 允许拥有云服务器完全访问权限 |
| ecs.instance.list | 允许查询云服务器实例列表 |
| ecs.instance.update | 允许修改云服务器实例配置 |
| ecs.instance.delete | 允许释放云服务器实例 |
| ecs.instance.stop | 允许关停云服务器实例 |
| ecs.instance.boot | 允许启动云服务器实例 |
| ecs.instance.reboot | 允许重新启动云服务器实例 |
| ecs.instance.reset | 允许重装云服务器实例 |
| ecs.instance.renew | 允许续订云服务器实例 |
| ecs.instance.unsubscribe | 允许退订云服务器实例 |
| ecs.instance.resize | 允许升降配云服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
弹性裸金属服务器 BMS
弹性裸金属服务器管理员
拥有授权范围内所有裸金属服务器实例的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| bms.instance.create | 允许创建裸金属服务器实例 |
| bms.instance.update | 允许修改裸金属服务器实例配置 |
| bms.instance.get | 允许查询目标裸金属服务器实例 |
| bms.instance.list | 允许查询裸金属服务器实例 |
| bms.instance.delete | 允许释放裸金属服务器实例 |
| bms.instance.stop | 允许关停裸金属服务器实例 |
| bms.instance.boot | 允许重启裸金属服务器实例 |
| bms.instance.reboot | 允许重新启动裸金属服务器实例 |
| bms.instance.reset | 允许重装裸金属服务器实例 |
| bms.instance.renew | 允许续订裸金属服务器实例 |
| bms.instance.unsubscribe | 允许退订裸金属服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| bms.instance.setIamPolicy | 允许授予裸金属服务器实例权限 |
| bms.instance.unSetIamPolicy | 允许移除裸金属服务器实例权限 |
弹性裸金属服务器创建者
可以创建裸金属服务器实例。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| bms.instance.create | 允许创建裸金属服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
弹性裸金属服务器所有者
拥有对裸金属服务器实例的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| bms.instance.ownData | 允许拥有裸金属服务器完全访问权限 |
| bms.instance.update | 允许修改裸金属服务器实例配置 |
| bms.instance.get | 允许查询目标裸金属服务器实例 |
| bms.instance.list | 允许查询裸金属服务器实例 |
| bms.instance.delete | 允许释放裸金属服务器实例 |
| bms.instance.stop | 允许关停裸金属服务器实例 |
| bms.instance.boot | 允许重启裸金属服务器实例 |
| bms.instance.reboot | 允许重新启动裸金属服务器实例 |
| bms.instance.reset | 允许重装裸金属服务器实例 |
| bms.instance.renew | 允许续订裸金属服务器实例 |
| bms.instance.unsubscribe | 允许退订裸金属服务器实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
对象存储 AOSS
禁止创建桶角色
授权后将无法在资源包下创建桶。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aoss.pack.bucketDeny | 禁止在对象存储资源包内创建桶 |
对象存储用户(默认)
拥有对资源包的查看权限。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aoss.pack.get | 允许获取资源包信息 |
文件存储 AFS
文件系统创建者
可以创建文件系统。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| afs.volume.create | 允许创建文件系统 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
文件系统所有者
拥有对文件系统的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| afs.volume.ownData | 允许拥有文件系统完全访问权限 |
| afs.volume.get | 允许获取文件系统信息 |
| afs.volume.update | 允许更新文件系统 |
| afs.volume.delete | 允许删除文件系统 |
| afs.volume.read | 允许文件系统读操作 |
| afs.volume.write | 允许文件系统写操作 |
| afs.volume.renew | 允许续订文件系统 |
| afs.volume.unsubscribe | 允许退订文件系统 |
| afs.volume.resize | 允许扩容文件系统 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| afs.volume.setIamPolicy | 允许授予文件系统权限 |
| afs.volume.unSetIamPolicy | 允许移除文件系统权限 |
文件系统使用者
拥有对文件系统使用权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| afs.volume.get | 允许拥有文件系统完全访问权限 |
| afs.volume.read | 允许文件系统读操作 |
| afs.volume.write | 允许文件系统写操作 |
文件系统读者
拥有对文件系统的只读权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| afs.volume.get | 允许拥有文件系统完全访问权限 |
| afs.volume.read | 允许文件系统读操作 |
块存储 ABS
块存储创建者
可以创建块存储。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| abs.disk.create | 允许创建块存储 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
块存储所有者
拥有对块存储的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| abs.disk.ownData | 允许拥有块存储完全访问权限 |
| abs.disk.get | 允许获取块存储信息 |
| abs.disk.list | 允许查询块存储列表 |
| abs.disk.update | 允许更新块存储信息 |
| abs.disk.delete | 允许删除块存储 |
| abs.disk.read | 允许块存储读操作 |
| abs.disk.write | 允许块存储写操作 |
| abs.disk.renew | 允许续订块存储 |
| abs.disk.unsubscribe | 允许退订块存储 |
| abs.disk.resize | 允许扩容块存储 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| abs.disk.setIamPolicy | 允许授予块存储权限 |
| abs.disk.unSetIamPolicy | 允许移除块存储权限 |
缓存服务 ACS
缓存服务创建者
可以创建缓存服务。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| acs.cache.create | 允许创建缓存服务 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
缓存服务所有者
拥有对缓存服务的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| acs.cache.ownData | 允许拥有缓存服务完全访问权限 |
| acs.instance.get | 允许获取缓存服务信息 |
| acs.cache.update | 允许更新缓存服务配置 |
| acs.cache.delete | 允许删除缓存服务 |
| acs.cache.unsubscribe | 允许退订缓存服务权限 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| acs.cache.setIamPolicy | 允许授予缓存服务权限 |
| acs.cache.unSetIamPolicy | 允许移除缓存服务权限 |
缓存服务使用者
拥有对缓存服务使用权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| acs.cache.get | 允许获取缓存服务信息 |
数据同步工具 ADS
存储数据同步工具创建者
可以创建存储数据同步工具。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| ads.instance.create | 允许创建数据同步工具 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
存储数据同步工具所有者
拥有对存储数据同步工具的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| ads.instance.ownData | 允许拥有数据同步工具完全访问权限 |
| ads.instance.get | 允许获取数据同步工具信息 |
| ads.instance.delete | 允许关闭数据同步工具 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
私有网络 VPC
私有网络管理员
拥有授权范围内所有私有网络VPC的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| vpc.vpc.get | 允许获取私有网络属性信息 |
| vpc.vpc.list | 允许查询私有网络列表 |
| vpc.vpc.update | 允许修改或更新私有网络属性 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许修改订阅 |
| rm.resourceGroup.get | 允许查询管理组下订阅列表 |
| iam.principal.list | 允许查询主体列表 |
| vpc.vpc.setIamPolicy | 允许授予私有网络权限 |
| vpc.vpc.unSetIamPolicy | 允许移除私有网络权限 |
私有网络操作员
拥有对私有网络VPC的操作权限,允许查看和修改私有网络VPC。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| vpc.vpc.get | 允许获取私有网络属性信息 |
| vpc.vpc.list | 允许查询私有网络列表 |
| vpc.vpc.update | 允许修改或更新私有网络属性 |
弹性公网IP EIP
弹性公网IP管理员
拥有授权范围内所有弹性公网IP及EIP规则的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| eip.eip.create | 允许创建弹性公网IP和EIP规则 |
| eip.eip.get | 允许获取弹性公网IP和EIP规则属性信息 |
| eip.eip.list | 允许查询弹性公网IP和EIP规则列表 |
| eip.eip.update | 允许修改或更新弹性公网IP属性 |
| eip.eip.delete | 允许删除弹性公网IP和EIP规则 |
| eip.eip.renew | 允许续订弹性公网IP |
| eip.eip.unsubscribe | 允许退订弹性公网IP |
| eip.eip.resize | 允许扩缩容弹性公网IP带宽 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许修改订阅 |
| rm.resourceGroup.get | 允许查询管理组下订阅列表 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| eip.eip.setIamPolicy | 允许授予弹性公网IP和EIP规则权限 |
| eip.eip.unSetIamPolicy | 允许移除弹性公网IP和EIP规则权限 |
弹性公网IP操作员
拥有对修改弹性公网IP和EIP规则的操作权限,允许查看和修改弹性公网IP和EIP规则。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| eip.eip.get | 允许获取弹性公网IP和EIP规则属性信息 |
| eip.eip.list | 允许查询弹性公网IP和EIP规则列表 |
| eip.eip.update | 允许修改或更新弹性公网IP属性 |
负载均衡 SLB
负载均衡管理员
拥有授权范围内所有负载均衡器的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| slb.slb.create | 允许创建负载均衡器 |
| slb.slb.get | 允许获取负载均衡器属性信息 |
| slb.slb.list | 允许查询负载均衡器列表 |
| slb.slb.update | 允许修改负载均衡器 |
| slb.slb.delete | 允许删除负载均衡器 |
| slb.slb.renew | 允许续订负载均衡器 |
| slb.slb.unsubscribe | 允许退订负载均衡器 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许修改订阅 |
| rm.resourceGroup.get | 允许查询管理组下订阅列表 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| slb.slb.setIamPolicy | 允许授予负载均衡器权限 |
| slb.slb.unSetIamPolicy | 允许移除负载均衡器权限 |
负载均衡操作员
拥有对负载均衡器的操作权限,允许查看和修改负载均衡器。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| slb.slb.get | 允许获取负载均衡器属性信息 |
| slb.slb.list | 允许查询负载均衡器列表 |
| slb.slb.update | 允许修改负载均衡器 |
负载均衡查看者(默认)
拥有对负载均衡器的查看权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| slb.slb.get | 允许获取负载均衡器属性信息 |
| slb.slb.list | 允许查询负载均衡器列表 |
专线接入 DC
专线接入管理员
拥有授权范围内专线接入的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| dc.dcpl.create | 允许创建物理线路 |
| dc.dcpl.get | 允许获取物理线路属性信息 |
| dc.dcpl.list | 允许查询物理线路列表 |
| dc.dcpl.update | 允许修改或更新物理线路属性 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| dc.dcpl.setIamPolicy | 允许授予物理线路权限 |
| dc.dcpl.unSetIamPolicy | 允许移除物理线路权限 |
专线接入查看者
拥有对专线接入的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| dc.dcpl.get | 允许获取物理线路属性信息 |
| dc.dcpl.list | 允许查询物理线路列表 |
数据管理平台 AIDMP
数据空间创建者
可以创建数据空间。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aidmp.workspace.create | 允许创建工作空间 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
数据空间管理员
拥有对数据空间的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aidmp.workspace.ownData | 允许拥有工作空间完全访问权限 |
| aidmp.workspace.delete | 允许删除工作空间 |
| aidmp.workspace.renew | 允许续订工作空间 |
| aidmp.workspace.unsubscribe | 允许退订工作空间 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| aidmp.workspace.setIamPolicy | 允许授予工作空间权限 |
| aidmp.workspace.unSetIamPolicy | 允许移除工作空间权限 |
数据空间用户
拥有对数据空间的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aidmp.workspace.get | 允许获取数据空间信息 |
| iam.principal.list | 允许查询主体列表 |
数据管理平台安全运营者
拥有对数据空间的查看权限。
此角色的生效范围为:资源管理-管理组
| 权限 | 描述 |
|---|---|
| aidmp.workspace.get | 允许获取数据空间信息 |
| aidmp.workspace.authOperate | 允许进行授权文件审核 |
| aidmp.workspace.securityOperate | 允许进行数据合规审核 |
数据标注平台 AAS
数据标注平台管理员
拥有数据标注平台所有项目完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aas.project.create | 允许创建项目 |
| aas.project.get | 允许获取项目信息 |
| aas.project.list | 允许获取项目列表 |
| aas.project.oaRelate | 允许关联OA单 |
| aas.project.download | 允许下载账单明细 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| aas.project.setIamPolicy | 允许授予项目权限 |
| aas.project.unSetIamPolicy | 允许移除项目权限 |
数据标注平台项目创建者
可以创建数据标注平台项目。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aas.project.create | 允许创建项目 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
数据标注平台项目创建者(默认)
可以在默认资源组创建数据标注平台项目。该角色无需主动授权,系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-共享资源组
| 权限 | 描述 |
|---|---|
| aas.project.create | 允许创建项目 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
数据标注平台项目管理员
拥有对某个项目完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aas.project.ownData | 允许拥有项目完全访问权限 |
| aas.project.get | 允许获取项目信息 |
| aas.project.oaRelate | 允许关联OA单 |
| aas.project.download | 允许下载账单明细 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| aas.project.setIamPolicy | 允许授予项目权限 |
| aas.project.unSetIamPolicy | 允许移除项目权限 |
数据标注平台项目成员
拥有对数据标注平台项目的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aas.project.get | 允许获取项目信息 |
| aas.project.download | 允许下载账单明细 |
万象模型开发平台 ModelStudio
Model Studio 资源管理员
拥有对授权范围资源的完全访问权限。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aicl.instance.create | 允许创建云开发机实例 |
| aicl.instance.get | 允许获取云云开发机实例信息 |
| aicl.instance.update | 允许修改或更新云云开发机实例属性 |
| aicl.instance.delete | 允许删除云开发机实例删除 |
| aicl.instance.list | 允许查询云开发机实例列表 |
| aicl.instance.stop | 允许暂停云开发机实例 |
| aicl.instance.start | 允许重启云开发机实例 |
| aicl.instance.renew | 允许续订云开发机实例 |
| aicl.instance.unsubscribe | 允许退订云开发机实例 |
| amp.modelSpace.create | 允许创建模型空间 |
| amp.modelSpace.get | 允许获取模型空间信息 |
| amp.modelSpace.list | 允许修改模型空间实例 |
| amp.modelSpace.delete | 允许删除模型空间 |
| amp.modelSpace.renew | 允许续订模型空间 |
| amp.modelSpace.resize | 允许对模型空间扩缩容 |
| amp.modelSpace.unsubscribe | 允许退订模型空间实例 |
| ams.inferenceService.create | 允许创建自定义推理服务 |
| ams.inferenceService.get | 允许获取自定义推理服务信息 |
| ams.inferenceService.list | 允许获取自定义推理服务列表 |
| ams.inferenceService.unsubscribe | 允许退订自定义推理服务 |
| ams.inferenceService.manageToken | 允许管理自定义推理服务的访问令牌 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.managementGroup.get | 允许获取管理组信息 |
| rm.subscription.get | 允许获取订阅信息 |
| rm.subscription.list | 允许查询管理组下订阅列表 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
| iam.principal.list | 允许查询主体列表 |
| aicl.instance.setIamPolicy | 允许授予云云开发机权限 |
| aicl.instance.unSetIamPolicy | 允许移除云云开发机权限 |
| amp.modelSpace.setIamPolicy | 允许授予模型空间权限 |
| amp.modelSpace.unSetIamPolicy | 允许移除模型空间移除权限 |
| ams.inferenceService.setIamPolicy | 允许授予自定义推理服务权限 |
| ams.inferenceService.unSetIamPolicy | 允许移除自定义推理服务移除权限 |
模型开发资源创建者
可以创建 ModelStudio 下的各类资源,如模型空间、云开发机、推理服务等。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| aicl.instance.create | 允许创建云开发机实例 |
| amp.modelSpace.create | 允许创建模型空间 |
| ams.inferenceService.create | 允许创建自定义推理服务 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许授予云云开发机权限 |
| rm.resourceGroup.createResource | 允许移除云云开发机权限 |
模型开发资源所有者
拥有对所创建 ModelStudio 资源的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aicl.instance.ownData | 允许拥有云开发机实例完全访问权限 |
| aicl.instance.get | 允许获取云云开发机实例信息 |
| aicl.instance.update | 允许修改或更新云云开发机实例属性 |
| aicl.instance.delete | 允许删除云开发机实例删除 |
| aicl.instance.open | 允许打开云开发机实例 |
| aicl.instance.stop | 允许暂停云开发机实例 |
| aicl.instance.start | 允许重启云开发机实例 |
| aicl.instance.save | 允许保存云开发机实例 |
| aicl.instance.renew | 允许续订云开发机实例 |
| aicl.instance.unsubscribe | 允许退订云开发机实例 |
| amp.modelSpace.ownData | 允许拥有模型空间的完全访问权限 |
| amp.modelSpace.get | 允许获取模型空间信息 |
| amp.modelSpace.update | 允许修改模型空间实例 |
| amp.modelSpace.delete | 允许删除模型空间 |
| amp.modelSpace.renew | 允许续订模型空间 |
| amp.modelSpace.resize | 允许对模型空间扩缩容 |
| amp.modelSpace.unsubscribe | 允许退订模型空间实例 |
| ams.inferenceService.ownData | 允许拥有自定义推理服务的完全访问权限 |
| ams.inferenceService.get | 允许获取自定义推理服务信息 |
| ams.inferenceService.list | 允许获取自定义推理服务列表 |
| ams.inferenceService.unsubscribe | 允许退订自定义推理服务 |
| ams.inferenceService.manageToken | 允许管理自定义推理服务的访问令牌 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| aicl.instance.setIamPolicy | 允许授予云云开发机权限 |
| aicl.instance.unSetIamPolicy | 允许移除云云开发机权限 |
| amp.modelSpace.setIamPolicy | 允许授予模型空间权限 |
| amp.modelSpace.unSetIamPolicy | 允许移除模型空间移除权限 |
模型开发资源维护者
拥有对 ModelStudio 指定资源的管理权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aicl.instance.get | 允许获取云云开发机实例信息 |
| aicl.instance.update | 允许修改或更新云云开发机实例属性 |
| aicl.instance.delete | 允许删除云开发机实例删除 |
| aicl.instance.open | 允许打开云开发机实例 |
| aicl.instance.stop | 允许暂停云开发机实例 |
| aicl.instance.start | 允许重启云开发机实例 |
| aicl.instance.save | 允许保存云开发机实例 |
| aicl.instance.renew | 允许续订云开发机实例 |
| aicl.instance.unsubscribe | 允许退订云开发机实例 |
| amp.modelSpace.get | 允许获取模型空间信息 |
| amp.modelSpace.update | 允许修改模型空间实例 |
| amp.modelSpace.delete | 允许删除模型空间 |
| amp.modelSpace.renew | 允许续订模型空间 |
| amp.modelSpace.resize | 允许对模型空间扩缩容 |
| amp.modelSpace.unsubscribe | 允许退订模型空间实例 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| iam.principal.list | 允许查询主体列表 |
| aicl.instance.setIamPolicy | 允许授予云云开发机权限 |
| aicl.instance.unSetIamPolicy | 允许移除云云开发机权限 |
| amp.modelSpace.setIamPolicy | 允许授予模型空间权限 |
| amp.modelSpace.unSetIamPolicy | 允许移除模型空间移除权限 |
开发机资源用户
拥有对 ModelStudio 开发机资源的查看及使用权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| aicl.instance.get | 允许获取云云开发机实例信息 |
| aicl.instance.update | 允许修改或更新云云开发机实例属性 |
| aicl.instance.delete | 允许删除云开发机实例删除 |
| aicl.instance.open | 允许打开云开发机实例 |
| aicl.instance.stop | 允许暂停云开发机实例 |
| aicl.instance.start | 允许重启云开发机实例 |
| aicl.instance.save | 允许保存云开发机实例 |
模型管理查看者
拥有对 ModelStudio 模型管理资源的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| amp.modelSpace.get | 允许获取模型空间信息 |
知识库用户
拥有对知识库模型服务的访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| rag.knowledgeApi.get | 允许获取知识库模型服务信息 |
日日新大模型开放平台 SenseNova
SenseNova用户(默认)
拥有授权范围内所有SenseNova API的查看权限。该角色无需主动授权,创建资源时系统将自动为用户授权该角色。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| llmchat.defaultApi.get | 允许获取大语言模型defaultAPI信息 |
| llmchat.defaultApi.list | 允许查询大语言模型defaultAPI |
| llmroleplay.internalApi.get | 允许获取拟人对话内部API信息 |
| llmroleplay.internalApi.list | 允许查询拟人对话内部API |
| llmchatlite.defaultApi.get | 允许获取端侧大语言模型defaultAPI信息 |
| llmchatlite.defaultApi.list | 允许查询端侧大语言模型defaultAPI |
云监控服务 CMS
云监控监控仓库创建者
可以创建云监控监控仓库。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| tr.telemetryRepo.create | 允许创建云监控监控仓库 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
云监控监控仓库所有者
拥有对监控仓库的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| tr.telemetryRepo.ownData | 允许拥有命名空间完全访问权限 |
| tr.telemetryRepo.get | 允许拥有云监控获取监控仓库属性 |
| tr.telemetryRepo.update | 允许修改云监控监控仓库属性 |
| tr.telemetryRepo.delete | 允许删除云监控监控仓库 |
| tr.telemetryRepo.unsubscribe | 允许退订云监控监控仓库 |
| tr.telemetryRepo.write | 允许向云监控监控仓库写入指标数据 |
| iam.principal.list | 允许查询主体列表 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
云监控监控仓库查看者
拥有对监控仓库的查看权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| tr.telemetryRepo.get | 允许拥有云监控获取监控仓库属性 |
云监控监控仓库数据所有者
拥有对监控仓库数据的读写权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| tr.telemetryRepo.get | 允许拥有云监控获取监控仓库属性 |
| tr.telemetryRepo.write | 允许向云监控监控仓库写入指标数据 |
容器镜像服务 CCR
命名空间创建者
可以创建命名空间。
此角色的生效范围为:资源管理-管理组/订阅/资源组
您可授予此角色的最低资源层级为:资源组
| 权限 | 描述 |
|---|---|
| ccr.namespace.create | 允许创建工作空间 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
| rm.resourceGroup.get | 允许获取资源组信息 |
| rm.resourceGroup.createResource | 允许在资源组下创建资源 |
命名空间所有者
拥有命名空间的完全访问权限。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| ccr.namespace.ownData | 允许拥有命名空间完全访问权限 |
| ccr.namespace.get | 允许获取命名空间信息 |
| ccr.namespace.delete | 允许删除命名空间 |
| ccr.namespace.operate | 允许管理镜像 |
| ccr.namespace.renew | 允许续订命名空间 |
| ccr.namespace.unsubscribe | 允许退订命名空间 |
| iam.principal.list | 允许查询主体列表 |
| ccr.namespace.setIamPolicy | 允许授予容器镜像命名空间权限 |
| ccr.namespace.unSetIamPolicy | 允许移除容器镜像命名空间权限 |
| rm.subscription.baView | 允许查看订阅关联计费账户 |
命名空间开发者
拥有命名空间内镜像的操作权限,可进行镜像的上传、拉取和删除操作。
此角色的生效范围为:资源管理-资源
| 权限 | 描述 |
|---|---|
| ccr.namespace.get | 允许获取命名空间信息 |
| ccr.namespace.operate | 允许管理镜像 |
云审计服务
云审计员
允许审计租户内的操作日志。
此角色的生效范围为:审计服务
| 权限 | 描述 |
|---|---|
| cts.auditLog.get | 允许获取审计日志信息 |
| cts.auditLog.list | 允许获取审计日志列表 |
| cts.auditLog.download | 允许下载审计日志列表 |