时序数据库 CTSDB
容器与中间件专题文档捉虫活动邀您参加 > HOT
文档中心>时序数据库 CTSDB>时序数据库 InfluxDB 版>操作指南>访问管理>权限与策略

权限与策略

最近更新时间:2023-11-29 21:15:02

我的收藏

本页目录:

CAM 策略描述

基本语法

{     
        "version":"2.0", 
        "statement": 
        [ 
           { 
              "effect":"effect", 
              "action":["action"], 
              "resource":["resource"], 
               "condition": {"key":{"value"}} 
           } 
       ] 
}
版本 version:必填项,目前仅允许值为"2.0"。
语句 statement:用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource,condition 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
影响 effect:必填项,描述声明产生的结果是“允许”还是“显式拒绝”。包括 allow(允许)和 deny(显式拒绝)两种情况。
操作 action:必填项,用来描述允许或拒绝的操作。操作可以是 API(以 konisgraph: 前缀描述)或者功能集(一组特定的 API,以 permid 前缀描述)。
资源 resource:必填项,描述授权的具体数据。资源是用六段式描述,每款产品的资源定义详情会有所区别。
生效条件 condition:必填项,描述策略生效的约束条件。条件由操作符、操作键和操作值组成。条件值可包括时间和 IP 地址等信息,有些服务允许您在条件中指定其他值。

时序数据库 InfluxDB 版的操作 Action

在 CAM 策略语句中的操作 action,您可以从支持 CAM 的任何服务中指定任意的 API 操作。对于时序数据库 InfluxDB 版,请使用以 ctsdb: 为前缀的 API。例如 ctsdb:CreateCluster、ctsdb:CreateDatabase、ctsdb:DestroyCluster、ctsdb:DestroyDatabase,具体可授权的接口列表,请参见 可授权资源与操作接口
如果您要在单个语句中指定多个操作的时候,请使用逗号将它们隔开,如下所示:
"action":["ctsdb:action1","ctsdb:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名字以单词" Describe "开头的所有操作,如下所示:
"action":["ctsdb:Describe*"]
如果您要指定 ctsdb 中所有操作,请使用 * 通配符,如下所示:
"action"["ctsdb:*"]

时序数据库 InfluxDB 版资源 Resource

每个 CAM 策略语句都有适用于自己的资源。资源路径的一般形式如下所示:
qcs:project_id:service_type:region:account:resource
project_id:无需填写,仅为了兼容 CAM 早期逻辑格式。
service_type:产品简称,如 ctsdb。
region:地域信息,如 bj。
account:资源拥有者的主账号信息,如 uin/12xxx8。
resource:各产品的具体资源详情,如 instance/instance_id 或者 instance/*。
例如,您可以使用特定实例(ctsdbi-8bfdai6s)在语句中指定它,如下所示:
"resource":[ "qcs::ctsdb:bj:uin/12xxx8:instance/ctsdbi-8bfdai6s"]
您还可以使用 * 通配符指定属于特定账户的所有实例,如下所示:
"resource":[ "qcs::ctsdb:bj:uin/12xxx8:instance/*"]
您要指定所有资源,或者如果特定 API 操作不支持资源级权限,请在 resource 元素中使用 * 通配符,如下所示:
"resource": ["*"]
如果您想要在一条指令中同时指定多个资源,请使用逗号将它们隔开,如下所示为指定两个资源的例子:
"resource":["resource1","resource2"]
下表描述了时序数据库 InfluxDB 版能够使用的资源和对应的资源描述方法。其中,$ 为前缀的单词均为代称,region 指地域,account 指账户 ID。
资源
授权策略中的资源描述方法
实例
qcs::ctsdb:$region:$account:instance/$instanceId
VPC
qcs::vpc:$region:$account:vpc/$vpcId
安全组
qcs::cvm:$region:$account:sg/$sgId

时序数据库 InfluxDB 版系统默认权限策略

腾讯云时序数据库 InfluxDB 版支持下表系统权限策略,您可以通过 CAM 控制台,在策略页面的预设策略中,查找时序数据库 InfluxDB 版的默认权限策略及其语法。
策略名称
策略权限说明
策略语法逻辑
QcloudCTSDBFullAccess
腾讯云时序数据库 InfluxDB 版的全读写访问权限。被授予该权限的子账户具有等同于腾讯云账号的权限,即控制台和 API 的所有操作权限。
{
    "version": "2.0",
    "statement": [
        {
            "action": [
                "ctsdb:*"
            ],
            "resource": "*",
            "effect": "allow"
        },
        {
            "action": [
                "monitor:DescribeBaseMetrics",
                "monitor:GetMonitorData"
            ],
            "resource": "*",
            "effect": "allow"
        }
    ]
}
QcloudCTSDBReadOnlyAccess
只读权限,被授予该权限的子账户只具有腾讯云账号所有资源的只读权限,不具有控制台和 API 的操作权限。
{
    "version": "2.0",
    "statement": [
        {
            "action": [
                "ctsdb:Describe*"
            ],
            "resource": "*",
            "effect": "allow"
        },
        {
            "action": [
                "monitor:DescribeBaseMetrics",
                "monitor:GetMonitorData"
            ],
            "resource": "*",
            "effect": "allow"
        }
    ]
}


自定义权限策略并授权

1. 自定义策略,支持通过策略生成器快速创建、标签授权方式创建、编写策略语法方式创建、产品功能或项目权限的方式来创建。具体操作,请参见 策略指南。策略语法描述,请参见 CAM 策略描述
2. 创建用户/用户组时,默认没有任何权限,您可以通过为其关联策略,使用户/用户组获得对应的操作权限。具体操作,请参见 授权管理

中国站
文档反馈
文档活动
message-icon联系我们
目录