基本信息
| CAM中产品名 | CAM中简称 | 控制台访问 | 按标签授权 | 授权粒度 | IP限制 |
|---|---|---|---|---|---|
| 容器镜像服务 | tcr | 支持 | 支持 | 资源级 | 部分支持 |
说明:云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
写操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| BatchDeleteImagePersonal | 批量删除镜像版本 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame}/${Tags} | 支持 |
| BatchDeleteRepositoryPersonal | 批量删除镜像仓库 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/${RepoNames} | 支持 |
| CreateCustomAccount | 创建自定义账户 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| CreateGCJob | 创建 GC 作业 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateHelmChart | 创建Chart仓库 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| CreateImageAccelerationService | 创建镜像加速服务 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateImageLifecyclePersonal | 创建个人版镜像版本清理策略 | 资源级 | qcs::tcr:${region}:uin/${uin}:repo/${RepoName} | 支持 |
| CreateImmutableTagRules | 创建镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| CreateInstance | 创建实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| CreateInstanceCustomizedDomain | 创建自定义域名 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateInstanceToken | 创建实例访问凭证 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateInternalEndpointDns | 创建私有域名解析 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateMultipleSecurityPolicy | 创建实例公网访问多白名单策略 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| CreateNamespace | 创建命名空间 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/* | 不支持 |
| CreateNamespacePersonal | 创建命名空间 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Namespace} | 支持 |
| CreateReplicationInstance | 创建从实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateRepository | 创建镜像仓库 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| CreateRepositoryPersonal | 创建镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 支持 |
| CreateSecurityPolicy | 创建实例公网访问白名单策略 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| CreateServiceAccount | 创建服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| CreateSignature | 为一个镜像版本创建签名 | 资源级 | qcs::tcr:${region}:uin/${uin}:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| CreateTagRetentionRule | 创建版本保留规则 | 操作级 | * | 不支持 |
| CreateWebhookTrigger | 创建触发器 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 支持 |
| DeleteCustomAccount | 删除自定义账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| DeleteHelmChart | 删除Chart仓库 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| DeleteImageAccelerateService | 删除镜像加速服务 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DeleteImageLifecycleGlobalPersonal | 删除个人版全局镜像版本自动清理策略 | 资源级 | qcs::tcr:$regionid:$accountid:repo/* | 支持 |
| DeleteImageLifecyclePersonal | 删除个人版镜像仓库Tag自动清理策略 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/${RepoName} | 支持 |
| DeleteImagePersonal | 删除镜像版本 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame}/${Tag} | 支持 |
| DeleteImmutableTagRules | 删除镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DeleteInstance | 删除实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteInstanceCustomizedDomain | 删除自定义域名 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteInstanceToken | 删除长期访问凭证 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DeleteInternalEndpointDns | 删除私有域名解析 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteMultipleSecurityPolicy | 删除实例公网访问多白名单策略 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceId} | 支持 |
| DeleteNamespace | 删除命名空间 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| DeleteNamespacePersonal | 删除命名空间 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Namespace} | 支持 |
| DeleteReplicationInstance | 删除从实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteRepository | 删除镜像仓库 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| DeleteRepositoryPersonal | 删除镜像仓库 | 资源级 | qcs::tcr:${Region}:uin/:repo/${Reponame} | 支持 |
| DeleteSecurityPolicy | 删除实例公网访问白名单策略 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DeleteServiceAccount | 删除服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DeleteTagRetentionRule | 删除版本保留规则 | 操作级 | * | 不支持 |
| DeleteWebhookTrigger | 删除触发器 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| DuplicateImagePersonal | 复制个人版仓库镜像版本 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/* | 支持 |
| ManageExternalEndpoint | 管理实例公网访问 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| ManageImageLifecycleGlobalPersonal | 设置个人版全局镜像版本自动清理策略 | 资源级 | qcs::tcr:$regionid:$accountid:repo/* | 支持 |
| ManageInternalEndpoint | 管理实例内网访问链路 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| ManageReplication | 管理实例同步规则 | 资源级 | * | 支持 |
| ModifyCustomAccount | 更新自定义账户 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| ModifyImmutableTagRules | 更新镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| ModifyInstance | 更新实例 | 资源级 | qcs::tcr:$regionid:$accountid:instance/* | 支持 |
| ModifyInstanceToken | 更新实例长期访问凭证 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| ModifyInstanceTokenValidTime | 更新实例Token有效期 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| ModifyNamespace | 修改命名空间 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| ModifyRepository | 更新镜像仓库信息 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| ModifyRepositoryAccessPersonal | 更新个人版仓库访问属性 | 资源级 | qcs::${ApiModule}:${Region}:uin/:repo/${RepoName} | 支持 |
| ModifySecurityPolicy | 更新实例公网访问白名单策略 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| ModifyServiceAccount | 更新服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| ModifyTagRetentionRule | 更新版本保留规则 | 操作级 | * | 不支持 |
| ModifyWebhookTrigger | 更新触发器 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| PushRepository | 推送镜像 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| PushRepositoryPersonal | 推送镜像 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 不支持 |
| RenewInstance | 预付费实例续费,同时支持按量计费转包年包月 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
读操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| DescribeChartDownloadInfo | 查询Chart包下载信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeChartUploadInfo | 查询Chart包上传信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeCustomAccounts | 查询自定义账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${instanceid} | 支持 |
| DescribeExternalEndpointStatus | 查询实例公网访问开启状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeGCJobs | GC 最近10条历史 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeHelmCharts | 查询Chart仓库信息 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/* | 不支持 |
| DescribeImageAccelerateService | 查询镜像加速服务状态 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeImageVulnerabilityDetails | 根据镜像版本查询扫描后的镜像漏洞信息 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeImmutableTagRules | 列出镜像不可变规则 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeInstanceInspection | 获取实例巡检结果信息 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/* | 支持 |
| DescribeInstanceStatus | 查询实例状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeInstanceToken | 查询长期访问凭证信息 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeInstances | 查询实例信息列表 | 资源级 | qcs::tcr:$regionid:$accountid:instance/* | 不支持 |
| DescribeInternalEndpoints | 查询实例内网访问链路信息 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeNamespaces | 查询命名空间信息 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/* | 不支持 |
| DescribeReplication | 查看实例同步规则 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 不支持 |
| DescribeReplicationExecutions | 实例同步/实例复制策略执行记录列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeReplicationInstanceCreateTasks | 查询创建从实例任务状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeReplicationInstanceSyncStatus | 查询从实例同步状态 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeReplicationPolicies | 获取实例同步规则列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeReplicationTasks | 实例同步/实例复制执行任务列表 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeRepositories | 查询镜像仓库信息 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$* | 不支持 |
| DescribeRepositoryOwnerPersonal | 查询用户创建的镜像仓库 | 操作级 | * | 不支持 |
| DescribeSecurityPolicies | 查询实例公网访问白名单策略 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeServiceAccounts | 查询服务级账号 | 资源级 | qcs::tcr:${region}:uin/${uin}:instance/${RegistryId} | 支持 |
| DescribeSourceCodeAuthPersonal | 查询源代码授权 | 操作级 | * | 不支持 |
| DescribeSystemInfo | 返回 TCR 实例系统信息 | 资源级 | qcs::tcr:${Region}:uin/:instance/${RegistryId} | 支持 |
| DescribeTagRetentionRuleLog | 查询版本保留规则执行日志 | 操作级 | * | 不支持 |
| DescribeTagRetentionRules | 查询版本保留规则 | 操作级 | * | 不支持 |
| DescribeWebhookTrigger | 查询触发器 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| DescribeWebhookTriggerLog | 获取触发器日志 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename | 不支持 |
| PullRepository | 拉取镜像 | 资源级 | qcs::tcr:$regionid:$accountid:repository/$instanceid/$namespacename/$repositoryname | 不支持 |
| PullRepositoryPersonal | 拉取镜像 | 资源级 | qcs::tcr:${Region}:uin/:repo/${RepoName} | 不支持 |
列表操作
| 接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
|---|---|---|---|---|
| DescribeInstanceCustomizedDomain | 查询实例自定义域名列表 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |
| DescribeInternalEndpointDnsStatus | DescribeInternalEndpointDnsStatus | 资源级 | qcs::tcr:$regionid:$accountid:instance/* | 支持 |
| DescribeReplicationInstances | 查询从实例列表 | 资源级 | qcs::tcr:$regionid:$accountid:instance/$instanceid | 支持 |