基本信息
| CAM中产品名 |
CAM中简称 |
控制台访问 |
按标签授权 |
授权粒度 |
IP限制 |
| 堡垒机 |
bh |
支持 |
不支持 |
操作级 |
部分支持 |
Note:
云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
读操作
| 接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
| AccessDevice |
访问资产 |
操作级 |
* |
支持 |
| CanCreateTrialResource |
是否能创建试用版堡垒机 |
操作级 |
* |
支持 |
| DescribeAccessControlRule |
获取访问控制策略详情 |
操作级 |
* |
支持 |
| DescribeAccessEntry |
查询运维人员WEB访问入口 |
操作级 |
* |
支持 |
| DescribeAlarmSetting |
查询告警设置 |
操作级 |
* |
支持 |
| DescribeAssetSyncStatus |
查询资产同步状态 |
操作级 |
* |
支持 |
| DescribeCdcSetting |
查询CDC环境设置参数 |
操作级 |
* |
支持 |
| DescribeDeviceCount |
查询导入的主机数 |
操作级 |
* |
支持 |
| DescribeDeviceCountSummary |
查询不同分类的资产数 |
操作级 |
* |
支持 |
| DescribeDomainInstallScript |
查询网络域安装脚本 |
操作级 |
* |
支持 |
| DescribeEnvSetting |
查询环境设置 |
操作级 |
* |
支持 |
| DescribeExportAuditLogTask |
获取审计日志导出任务 |
操作级 |
* |
支持 |
| DescribeExportUserTask |
查询用户导出任务 |
操作级 |
* |
支持 |
| DescribeLogOutputSettings |
查询日志外发配置 |
操作级 |
* |
支持 |
| DescribeMFAPreCheck |
查询多因子认证预校验 |
操作级 |
* |
支持 |
| DescribeOperationTaskDetail |
查询运维任务详情 |
操作级 |
* |
支持 |
| DescribeSecuritySetting |
查询安全配置信息 |
操作级 |
* |
支持 |
| DescribeSystemTaskStatistics |
查询系统任务统计信息 |
操作级 |
* |
支持 |
| DescribeTicketSubmitFlag |
查询工单设置 |
操作级 |
* |
支持 |
| DescribeTrialGuide |
查询堡垒机试用引导步骤 |
操作级 |
* |
支持 |
| DescribeUserCount |
查询用户总数 |
操作级 |
* |
支持 |
| LoginOpserver |
切换运维端 |
操作级 |
* |
支持 |
| ReplaySession |
会话回放 |
操作级 |
* |
支持 |
| SearchKeyboardLogger |
获取键盘事件记录 |
操作级 |
* |
支持 |
| ShowGraph |
显示折线图 |
操作级 |
* |
支持 |
| ShowTop |
显示在线用户数、活跃用户、活跃主机、高危用户 |
操作级 |
* |
支持 |
| ViewReport |
预览审计报表 |
操作级 |
* |
支持 |
写操作
| 接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
| AccessTrackPage |
进入埋点页面 |
操作级 |
* |
支持 |
| AddDeviceGroupMembers |
添加资产组成员 |
操作级 |
* |
支持 |
| AddUserGroupMembers |
添加用户组成员 |
操作级 |
* |
支持 |
| BindDeviceAccountKubeconfig |
绑定容器账号凭据 |
操作级 |
* |
不支持 |
| BindDeviceAccountPassword |
绑定主机账号密码 |
操作级 |
* |
支持 |
| BindDeviceAccountPrivateKey |
绑定主机账号私钥 |
操作级 |
* |
支持 |
| BindDeviceResource |
修改资产绑定的堡垒机服务 |
操作级 |
* |
支持 |
| CreateAccessControlRule |
创建访问控制策略 |
操作级 |
* |
支持 |
| CreateAccessControlTemplate |
创建访问控制模板 |
操作级 |
* |
支持 |
| CreateAccessControlTemplateRule |
创建访问控制模板规则关联 |
操作级 |
* |
支持 |
| CreateAccessWhiteListRule |
添加访问白名单规则 |
操作级 |
* |
支持 |
| CreateAcl |
新建访问权限 |
操作级 |
* |
支持 |
| CreateAssetSyncJob |
创建手工资产同步任务 |
操作级 |
* |
支持 |
| CreateChangePwdTask |
创建修改密码任务 |
操作级 |
* |
支持 |
| CreateCmdTemplate |
新建高危命令模板 |
操作级 |
* |
支持 |
| CreateDepartment |
新建部门 |
操作级 |
* |
支持 |
| CreateDeviceAccount |
新建主机账号 |
操作级 |
* |
支持 |
| CreateDeviceAccountBatch |
批量添加主机账号 |
操作级 |
* |
支持 |
| CreateDeviceGroup |
新建资产组 |
操作级 |
* |
支持 |
| CreateDomain |
创建网络域 |
操作级 |
* |
支持 |
| CreateExportAuditLogTask |
创建审计日志导出任务 |
操作级 |
* |
支持 |
| CreateExportDeviceTask |
创建资产导出任务 |
操作级 |
* |
支持 |
| CreateExportUserTask |
创建用户导出任务 |
操作级 |
* |
支持 |
| CreateLogDelivery |
创建日志投递服务 |
操作级 |
* |
支持 |
| CreatePushAccountTask |
创建账号推送任务 |
操作级 |
* |
支持 |
| CreateReportTask |
创建运维报表任务 |
操作级 |
* |
支持 |
| CreateResource |
创建堡垒机实例 |
操作级 |
* |
支持 |
| CreateUKey |
创建UKey和绑定用户 |
操作级 |
* |
支持 |
| CreateUKeyBatch |
批量导入UKey和绑定用户 |
操作级 |
* |
支持 |
| CreateUser |
新建用户 |
操作级 |
* |
支持 |
| CreateUserBatch |
批量导入用户 |
操作级 |
* |
支持 |
| CreateUserGroup |
新建用户组 |
操作级 |
* |
支持 |
| DeleteAccessControlRules |
删除访问控制策略 |
操作级 |
* |
支持 |
| DeleteAccessControlTemplate |
删除访问控制模板 |
操作级 |
* |
支持 |
| DeleteAccessControlTemplateRule |
删除访问控制模板和规则关联 |
操作级 |
* |
支持 |
| DeleteAccessWhiteListRules |
删除访问白名单规则 |
操作级 |
* |
支持 |
| DeleteAcls |
删除访问权限 |
操作级 |
* |
支持 |
| DeleteChangePwdTask |
删除修改密码任务 |
操作级 |
* |
支持 |
| DeleteCmdTemplates |
删除高危命令模板 |
操作级 |
* |
支持 |
| DeleteDepartment |
删除部门 |
操作级 |
* |
支持 |
| DeleteDeviceAccounts |
删除主机账号 |
操作级 |
* |
支持 |
| DeleteDeviceGroupMembers |
删除资产组成员 |
操作级 |
* |
支持 |
| DeleteDeviceGroups |
删除资产组 |
操作级 |
* |
支持 |
| DeleteDevices |
删除主机 |
操作级 |
* |
支持 |
| DeleteDomains |
删除网络域 |
操作级 |
* |
支持 |
| DeleteExportAuditLogTask |
删除审计日志导出任务 |
操作级 |
* |
支持 |
| DeleteExportDeviceTask |
删除资产导出任务 |
操作级 |
* |
支持 |
| DeleteExportUserTask |
删除导出用户任务 |
操作级 |
* |
支持 |
| DeletePushAccountTasks |
删除账号推送任务 |
操作级 |
* |
支持 |
| DeleteReportTask |
删除审计报表任务 |
操作级 |
* |
支持 |
| DeleteReportTaskHistory |
删除报表任务记录 |
操作级 |
* |
支持 |
| DeleteUKeys |
删除UKey |
操作级 |
* |
支持 |
| DeleteUserGroupMembers |
删除用户组成员 |
操作级 |
* |
支持 |
| DeleteUserGroups |
删除用户组 |
操作级 |
* |
支持 |
| DeleteUsers |
删除用户 |
操作级 |
* |
支持 |
| DisableIntranetAccess |
关闭内网访问 |
操作级 |
* |
支持 |
| EnableIntranetAccess |
开通内网访问 |
操作级 |
* |
支持 |
| ImportDeviceAccount |
批量导入账号 |
操作级 |
* |
支持 |
| ImportDevices |
导入主机信息 |
操作级 |
* |
支持 |
| ImportExternalDevice |
导入外部资产信息 |
操作级 |
* |
支持 |
| LeaveTrackPage |
离开埋点页面 |
操作级 |
* |
支持 |
| ModifyAccessControlRule |
修改访问控制策略 |
操作级 |
* |
支持 |
| ModifyAccessControlTemplate |
修改访问控制模板 |
操作级 |
* |
支持 |
| ModifyAccessControlTemplateRuleOrder |
修改访问控制模板规则顺序 |
操作级 |
* |
支持 |
| ModifyAccessTimePolicy |
批量修改访问时间段限制 |
操作级 |
* |
支持 |
| ModifyAccessWhiteListAutoStatus |
修改访问白名单自动添加IP状态 |
操作级 |
* |
支持 |
| ModifyAccessWhiteListRule |
修改访问白名单规则 |
操作级 |
* |
支持 |
| ModifyAccessWhiteListStatus |
修改访问白名单状态 |
操作级 |
* |
支持 |
| ModifyAcl |
修改访问权限 |
操作级 |
* |
支持 |
| ModifyAlarmSetting |
修改告警设置 |
操作级 |
* |
支持 |
| ModifyAssetSyncFlag |
修改资产自动同步开关 |
操作级 |
* |
支持 |
| ModifyAuthModeSetting |
修改认证方式配置信息 |
操作级 |
* |
支持 |
| ModifyChangePwdTask |
更新修改密码任务 |
操作级 |
* |
支持 |
| ModifyCmdTemplate |
修改高危命令模板 |
操作级 |
* |
支持 |
| ModifyDepartment |
修改部门信息 |
操作级 |
* |
支持 |
| ModifyDevice |
修改资产信息 |
操作级 |
* |
支持 |
| ModifyDeviceGroup |
修改资产组 |
操作级 |
* |
支持 |
| ModifyDevicesDepartment |
批量修改资产部门 |
操作级 |
* |
支持 |
| ModifyDevicesPort |
批量修改主机端口 |
操作级 |
* |
支持 |
| ModifyDevicesSSL |
修改资产SSL配置信息 |
操作级 |
* |
支持 |
| ModifyDomain |
修改网络域 |
操作级 |
* |
支持 |
| ModifyExternalDevice |
修改外部资产信息 |
操作级 |
* |
支持 |
| ModifyLDAPSetting |
修改LDAP配置信息 |
操作级 |
* |
支持 |
| ModifyLogDelivery |
修改日志投递配置 |
操作级 |
* |
支持 |
| ModifyLogOutputSettings |
修改日志外发配置 |
操作级 |
* |
支持 |
| ModifyLoginSetting |
修改登录相关配置信息 |
操作级 |
* |
支持 |
| ModifyOAuthSetting |
设置OAuth认证参数 |
操作级 |
* |
支持 |
| ModifyPasswordSetting |
修改密码配置信息 |
操作级 |
* |
支持 |
| ModifyPushAccountTask |
修改账号推送任务信息 |
操作级 |
* |
支持 |
| ModifyReportTask |
修改报表任务 |
操作级 |
* |
支持 |
| ModifyResource |
资源变配 |
操作级 |
* |
支持 |
| ModifyTicketSubmitFlag |
修改权限工单自动提交设置 |
操作级 |
* |
支持 |
| ModifyUKey |
修改UKey已绑定的用户 |
操作级 |
* |
支持 |
| ModifyUser |
修改用户信息 |
操作级 |
* |
支持 |
| ModifyUserBatch |
批量修改用户 |
操作级 |
* |
支持 |
| ModifyUserGroup |
修改用户组 |
操作级 |
* |
支持 |
| ModifyUsersDepartment |
批量修改用户部门 |
操作级 |
* |
支持 |
| ResetDeviceAccountKubeconfig |
清除容器账号凭据 |
操作级 |
* |
不支持 |
| ResetDeviceAccountPassword |
清除设备账号绑定密码 |
操作级 |
* |
支持 |
| ResetDeviceAccountPrivateKey |
清除设备账号绑定的密钥 |
操作级 |
* |
支持 |
| SyncUserFromCam |
同步cam用户 |
操作级 |
* |
支持 |
| UpdateTicketStatus |
修改工单状态 |
操作级 |
* |
不支持 |
| UpdateTrialGuideStep |
更新堡垒机试用引导步骤 |
操作级 |
* |
支持 |
| VisitTrackPage |
访问埋点页面 |
操作级 |
* |
支持 |
其他操作
| 接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
| ApproveTicket |
审批工单 |
操作级 |
* |
支持 |
| CheckLDAPConnection |
测试LDAP连接 |
操作级 |
* |
支持 |
| ConnectDomain |
开通网络域连接 |
操作级 |
* |
支持 |
| DeployResource |
开通服务 |
操作级 |
* |
支持 |
| DisconnectDomain |
断开网络域连接 |
操作级 |
* |
支持 |
| KillSession |
会话切断(已废弃) |
操作级 |
* |
支持 |
| LockUser |
锁定用户 |
操作级 |
* |
支持 |
| MonitorSession |
会话实时监控 |
操作级 |
* |
支持 |
| ResetLogDelivery |
重置日志投递 |
操作级 |
* |
支持 |
| ResetUser |
重置用户 |
操作级 |
* |
支持 |
| RunChangePwdTask |
执行改密任务 |
操作级 |
* |
支持 |
| RunPushAccountTask |
执行账号推送任务 |
操作级 |
* |
支持 |
| SetLDAPSyncFlag |
设置LDAP 立即同步标记 |
操作级 |
* |
支持 |
| UnlockUser |
解锁用户 |
操作级 |
* |
支持 |
列表操作
| 接口名 |
接口描述 |
授权粒度 |
资源六段式 |
IP限制 |
| DescribeAccessControlRules |
获取访问控制策略列表 |
操作级 |
* |
支持 |
| DescribeAccessControlTemplateRules |
查询访问控制模板关联的规则列表 |
操作级 |
* |
支持 |
| DescribeAccessControlTemplates |
查询访问控制模板列表 |
操作级 |
* |
支持 |
| DescribeAccessWhiteListRules |
查询访问白名单规则列表 |
操作级 |
* |
支持 |
| DescribeAccountsWithDeviceCount |
查询账号及带该相同账号的主机数 |
操作级 |
* |
支持 |
| DescribeAcls |
查询访问权限列表 |
操作级 |
* |
支持 |
| DescribeAssetSyncFlag |
查询资产自动同步开关 |
操作级 |
* |
支持 |
| DescribeAvailableInstanceTypes |
查询有效的实例类型列表 |
操作级 |
* |
支持 |
| DescribeChangePwdTask |
查询改密任务列表 |
操作级 |
* |
支持 |
| DescribeChangePwdTaskDetail |
查询改密任务详情 |
操作级 |
* |
支持 |
| DescribeCkafkaInstanceList |
查询ckafka实例列表 |
操作级 |
* |
支持 |
| DescribeCmdTemplates |
查询命令模板列表 |
操作级 |
* |
支持 |
| DescribeDepartments |
查询部门信息 |
操作级 |
* |
支持 |
| DescribeDeviceAccounts |
查询主机账号列表 |
操作级 |
* |
支持 |
| DescribeDeviceGroupMembers |
查询资产组成员列表 |
操作级 |
* |
支持 |
| DescribeDeviceGroups |
查询资产组列表 |
操作级 |
* |
支持 |
| DescribeDevices |
查询资产列表 |
操作级 |
* |
支持 |
| DescribeDomains |
查询网络域 |
操作级 |
* |
支持 |
| DescribeExportDeviceTask |
查询资产导出任务 |
操作级 |
* |
支持 |
| DescribeInstanceIds |
查询指定区域所有主机的InstanceId |
操作级 |
* |
支持 |
| DescribeLDAPUnitSet |
获取LDAP ou 列表 |
操作级 |
* |
支持 |
| DescribeLogDelivery |
查询日志推送信息 |
操作级 |
* |
支持 |
| DescribeLoginEvent |
查询登录日志 |
操作级 |
* |
支持 |
| DescribeOperationEvent |
查询操作日志 |
操作级 |
* |
支持 |
| DescribeOperationTaskStatistics |
查询运维任务统计信息 |
操作级 |
* |
支持 |
| DescribeOperationTasks |
查询运维任务列表 |
操作级 |
* |
支持 |
| DescribeOperationType |
查询操作类型 |
操作级 |
* |
支持 |
| DescribePushAccountTask |
查询账号推送任务 |
操作级 |
* |
支持 |
| DescribePushAccountTaskDetail |
查询账号推送任务详情 |
操作级 |
* |
支持 |
| DescribeReportTask |
查询审计报表任务 |
操作级 |
* |
支持 |
| DescribeReportTaskHistory |
查询报表任务记录 |
操作级 |
* |
支持 |
| DescribeResources |
查询堡垒机服务信息 |
操作级 |
* |
支持 |
| DescribeTaskTemplate |
查询系统任务模板 |
操作级 |
* |
支持 |
| DescribeTickets |
查询运维工单列表 |
操作级 |
* |
支持 |
| DescribeUKeys |
查询UKey列表 |
操作级 |
* |
支持 |
| DescribeUserGroupMembers |
查询用户组成员列表 |
操作级 |
* |
支持 |
| DescribeUserGroups |
查询用户组列表 |
操作级 |
* |
支持 |
| DescribeUsers |
查询用户列表 |
操作级 |
* |
支持 |
| SearchAuditLog |
搜索审计日志 |
操作级 |
* |
支持 |
| SearchChangePwdTaskInfo |
搜索改密任务详情 |
操作级 |
* |
支持 |
| SearchCommand |
命令执行检索 |
操作级 |
* |
支持 |
| SearchCommandBySid |
根据会话Id搜索Command |
操作级 |
* |
支持 |
| SearchEvent |
搜索高危事件 |
操作级 |
* |
支持 |
| SearchFile |
文件传输检索 |
操作级 |
* |
支持 |
| SearchFileBySid |
搜索文件传输会话下文件操作列表 |
操作级 |
* |
支持 |
| SearchFileSession |
搜索文件和所属的会话 |
操作级 |
* |
支持 |
| SearchPushAccountTaskInfo |
搜索账号推送任务详情 |
操作级 |
* |
支持 |
| SearchSession |
搜索会话 |
操作级 |
* |
支持 |
| SearchSessionCommand |
命令检索 |
操作级 |
* |
支持 |
| SearchStatement |
搜索数据库操作 |
操作级 |
* |
支持 |
| SearchStatementBySid |
根据会话Id搜索数据库操作 |
操作级 |
* |
支持 |
| SearchSubtaskResultById |
查询运维子任务执行结果 |
操作级 |
* |
支持 |
| SearchTaskResult |
搜索运维任务执行结果 |
操作级 |
* |
支持 |
| SearchTaskResultDetail |
搜索运维任务执行结果详情 |
操作级 |
* |
支持 |
是
否
本页内容是否解决了您的问题?