基本信息
| CAM中产品名 | CAM中简称 | 控制台访问 | 按标签授权 | 授权粒度 | IP限制 |
|---|---|---|---|---|---|
| 容器镜像服务 | tcr | 支持 | 支持 | 资源级 | 部分支持 |
说明:云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
写操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| AuthorizeUserImageBuildConfig | 添加coding认证 | 操作级 | * | 不支持 |
| BatchDeleteImagePersonal | 批量删除镜像版本 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame}/${Tags} | 支持 |
| BatchDeleteRepositoryPersonal | 批量删除镜像仓库 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/${RepoNames} | 支持 |
| CreateApplicationTokenPersonal | 创建第三方应用访问凭证 | 操作级 | * | 支持 |
| CreateApplicationTriggerPersonal | 创建应用更新触发器 | 操作级 | * | 支持 |
| CreateGCJob | 创建 GC 作业 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateHelmChart | 创建Chart仓库 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| CreateImageAccelerateService | 创建镜像加速服务 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| CreateImageAccelerationService | 创建镜像加速服务 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateImmutableTagRules | 创建镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateInstance | 创建实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| CreateInstanceCustomizedDomain | 创建自定义域名 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} qcs::ssl::uin/${uin}:certificate/${CertificateId} |
支持 |
| CreateInstanceToken | 获取临时登录密码 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateInternalEndpointDns | 创建私有域名解析 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateMultipleSecurityPolicy | 创建实例公网访问多白名单策略 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| CreateNamespace | 创建命名空间 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/* | 不支持 |
| CreateNamespacePersonal | 创建命名空间 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Namespace} | 支持 |
| CreateReplicationInstance | 创建从实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateRepo | 创建共享版镜像仓库 | 资源级 | qcs::tcr:${region}:uin/${uin}:repo/${Reponame} | 支持 |
| CreateRepository | 创建镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| CreateRepositoryPersonal | 创建镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 支持 |
| CreateSecurityPolicy | 创建实例公网访问白名单策略 | 资源级 | qcs::tcr::uin/${uin}:instance/${RegistryId} | 支持 |
| CreateServiceAccount | 创建服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| CreateSignature | 为一个镜像版本创建签名 | 资源级 | qcs::tcr:${region}:uin/${uin}:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| CreateTagRetentionRule | 创建版本保留规则 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| CreateUserPersonal | 创建CCR用户 | 操作级 | * | 支持 |
| CreateWebhookTrigger | 创建Webhook触发器 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateWebhookTriggerPersonal | 创建个人版 Webhook 触发器 | 操作级 | * | 不支持 |
| DeleteApplicationTriggerPersonal | 删除应用更新触发器 | 操作级 | * | 支持 |
| DeleteImageAccelerateService | 删除镜像加速服务 | 资源级 | qcs::tcr:${Region}:uin/:instance/${InstanceId} | 支持 |
| DeleteImageLifecycleGlobalPersonal | 删除个人版全局镜像版本自动清理策略 | 操作级 | * | 支持 |
| DeleteImagePersonal | 删除镜像版本 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame}/${Tag} | 支持 |
| DeleteImmutableTagRules | 删除镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DeleteInstance | 删除实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteInstanceCustomizedDomain | 删除自定义域名 | 操作级 | * | 支持 |
| DeleteInstanceToken | 删除长期访问凭证 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DeleteInternalEndpointDns | 删除私有域名解析 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteMultipleSecurityPolicy | 删除实例公网访问多白名单策略 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceId} | 支持 |
| DeleteNamespace | 删除命名空间 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| DeleteNamespacePersonal | 删除命名空间 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Namespace} | 支持 |
| DeleteReplicationInstance | 删除从实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteRepository | 删除镜像仓库 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| DeleteRepositoryPersonal | 删除镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame} | 支持 |
| DeleteSecurityPolicy | 删除实例公网访问白名单策略 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteServiceAccount | 删除服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DeleteTagRetentionRule | 删除版本保留规则 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| DeleteWebhookTrigger | 删除Webhook触发器 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| DeleteWebhookTriggerPersonal | 删除个人版 Webhook 触发器 | 操作级 | * | 不支持 |
| DownloadHelmChart | 下载helm chart | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/${ChartName} | 不支持 |
| DuplicateImagePersonal | 复制个人版仓库镜像版本 | 操作级 | * | 支持 |
| ManageExternalEndpoint | 管理实例公网访问 | 资源级 | qcs::tcr::uin/${uin}:instance/${RegistryId} | 支持 |
| ManageImageLifecycleGlobalPersonal | 设置个人版全局镜像版本自动清理策略 | 操作级 | * | 支持 |
| ManageInternalEndpoint | 管理实例内网访问VPC链接 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} qcs::vpc:${region}:uin/${uin}:subnet/${subnetId} |
支持 |
| ManageReplication | 管理实例同步 | 资源级 | qcs::tcr::uin/${uin}:instance/${SourceRegistryId} | 支持 |
| ModifyApplicationTriggerPersonal | 修改应用更新触发器 | 操作级 | * | 支持 |
| ModifyImmutableTagRules | 更新镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| ModifyInstance | 更新实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/* | 支持 |
| ModifyInstanceStorage | 修改TCR实例存储配置 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 不支持 |
| ModifyInstanceToken | 更新实例长期访问凭证 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| ModifyInstanceTokenValidTime | 更新实例Token有效期 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| ModifyNamespace | 更新命名空间信息 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| ModifyRepository | 更新镜像仓库 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| ModifyRepositoryAccessPersonal | 更新个人版仓库访问属性 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/${RepoName} | 支持 |
| ModifyRepositoryInfoPersonal | 更新个人版镜像仓库描述 | 操作级 | * | 支持 |
| ModifySecurityPolicy | 更新实例公网访问白名单策略 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| ModifyServiceAccount | 更新服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| ModifyTagRetentionRule | 更新版本保留规则 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| ModifyUserPasswordPersonal | 修改个人用户登录密码 | 操作级 | * | 支持 |
| ModifyWebhookTrigger | 更新Webhook触发器 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| PullRepository | 拉取镜像 | 资源级 | qcs::tcr:${region}:uin/${uin}:repository/${instanceid}/${namespacename}/${repositoryname} | 不支持 |
| PullRepositoryPersonal | 拉取镜像 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 不支持 |
| PushRepository | 推送镜像 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| PushRepositoryPersonal | 推送镜像 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 不支持 |
| RenewInstance | 预付费实例续费,同时支持按量计费转包年包月 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| TerminateGCJob | 终止制品清理任务 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 不支持 |
| UpdateApplicationTokenPermission | 更新访问凭证读写权限 | 操作级 | * | 不支持 |
| UpdateApplicationTokenPermissionPersonal | 更新访问凭证读写权限 | 操作级 | * | 支持 |
| UpdateApplicationTokenPersonal | 更新访问凭证 | 操作级 | * | 支持 |
读操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| CheckInstanceCustomizedDomains | 检查自定义域名备案状态 | 操作级 | * | 不支持 |
| CheckInstanceName | 检查待创建的实例名称是否符合规范 | 操作级 | * | 不支持 |
| DeleteReplicationRule | 删除实例同步规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${SourceRegistryId} | 支持 |
| DescribeApplicationTokenPersonal | 获取第三方应用访问凭证 | 操作级 | * | 支持 |
| DescribeApplicationTriggerLogPersonal | 查询应用更新触发器触发日志 | 操作级 | * | 支持 |
| DescribeApplicationTriggerPersonal | 查询应用更新触发器 | 操作级 | * | 支持 |
| DescribeChartDownloadInfo | 查询Chart包下载信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeChartUploadInfo | 查询Chart包上传信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeCosInfo | 查询实例存储信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/${instanceid} | 不支持 |
| DescribeDockerHubImagePersonal | 查询DockerHub镜像列表 | 操作级 | * | 支持 |
| DescribeDockerHubRepositoryInfoPersonal | 查询DockerHub仓库信息 | 操作级 | * | 支持 |
| DescribeDockerHubRepositoryPersonal | 查询DockerHub仓库列表 | 操作级 | * | 支持 |
| DescribeExternalEndpointStatus | 查询实例公网访问开启状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeFavorRepositoryPersonal | 查询个人收藏仓库 | 操作级 | * | 支持 |
| DescribeGCJobs | GC 最近10条历史 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeHelmCharts | 查询Chart仓库信息 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/* | 不支持 |
| DescribeImageAccelerateService | 查询镜像加速服务状态 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeImageConfigPersonal | 查询镜像版本配置信息 | 操作级 | * | 支持 |
| DescribeImageFilterPersonal | 查询个人版中与指定tag镜像内容相同的tag列表 | 操作级 | * | 支持 |
| DescribeImageLifecycleGlobalPersonal | 获取个人版全局镜像版本自动清理策略 | 操作级 | * | 支持 |
| DescribeImageLifecyclePersonal | 获取个人版仓库自动清理策略 | 操作级 | * | 支持 |
| DescribeImageManifests | 查询容器镜像Manifest信息 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| DescribeImagePersonal | 用于获取个人版镜像仓库tag列表 | 资源级 | qcs::tcr::uin/${uin}:repo/${Reponame} | 支持 |
| DescribeImageVulnerabilityDetails | 根据镜像版本查询扫描后的镜像漏洞信息 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeImages | 查询镜像版本列表或指定容器镜像信息 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| DescribeImmutableTagRules | 列出镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeInstanceAllForCoding | Coding专用-查询全部实例信息 | 操作级 | * | 不支持 |
| DescribeInstanceStatus | 查询实例状态 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeInstanceToken | 查询长期访问凭证信息 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeInternalEndpoints | 查询实例内网访问链路信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeNamespacePersonal | 查询个人版命名空间信息 | 操作级 | * | 支持 |
| DescribeNamespaces | 查询命名空间信息 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/* | 不支持 |
| DescribeRegions | 列出TCR可用区域 | 操作级 | * | 不支持 |
| DescribeReplication | 查看实例同步规则 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| DescribeReplicationExecutions | 实例同步/实例复制策略执行记录列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeReplicationInstanceCreateTasks | 查询创建从实例任务状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeReplicationInstanceSyncStatus | 查询从实例同步状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeReplicationPolicies | 获取实例同步规则列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeReplicationTasks | 实例同步/实例复制执行任务列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeRepositories | 读取镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/${RepositoryName} | 不支持 |
| DescribeRepositoryAllPersonal | 查询所有可访问的镜像仓库 | 操作级 | * | 支持 |
| DescribeRepositoryFilterPersonal | 获取满足输入搜索条件的个人版镜像仓库 | 操作级 | * | 支持 |
| DescribeRepositoryOwnerPersonal | 查询用户创建的镜像仓库 | 操作级 | * | 不支持 |
| DescribeRepositoryPersonal | 查询个人版仓库信息 | 操作级 | * | 支持 |
| DescribeSecurityPolicies | 查询实例公网访问白名单策略 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeServiceAccounts | 查询服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeSystemInfo | 返回 TCR 实例系统信息 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeTagRetentionExecutionTask | 查询版本保留执行任务 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| DescribeTagRetentionRules | 查询版本保留规则 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/* | 不支持 |
| DescribeUserPersonal | 查询个人用户 | 操作级 | * | 支持 |
| DescribeUserQuotaPersonal | 查询个人用户配额 | 操作级 | * | 支持 |
| DescribeWebhookTrigger | 查询Webhook触发器 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NamespaceName}/* | 不支持 |
| DescribeWebhookTriggerLog | 查询Webhook触发器日志 | 资源级 | qcs::tcr:${Region}:uin/${Uin}:repository/${RegistryId}/${Namespace}/* | 不支持 |
| ListChartRelease | 查询Chart版本列表 | 资源级 | qcs::tcr::uin/${uin}:repository/${RegistryId}/${NameSpaceName}/${RepositoryName} | 不支持 |
| ValidateApplicationTokenPersonal | 验证第三方应用访问凭证 | 操作级 | * | 支持 |
| ValidateNamespaceExistPersonal | 验证个人版命名空间是否存在 | 操作级 | * | 支持 |
| ValidateRepositoryExistPersonal | 验证个人版仓库是否存在 | 操作级 | * | 支持 |
| ValidateUserPersonal | 验证个人用户 | 操作级 | * | 支持 |
列表操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| DescribeInstanceCustomizedDomain | 查询实例自定义域名列表 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$RegistryId | 支持 |
| DescribeInstances | 查询实例信息 | 资源级 | qcs::tcr::uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeInternalEndpointDnsStatus | 批量查询vpc是否已经添加私有域名解析 | 操作级 | * | 支持 |
| DescribeReplicationInstances | 查询从实例列表 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeWebhookTriggerPersonal | 查询个人版 Webhook 触发器 | 操作级 | * | 支持 |
