云监控支持的RAM权限策略Action与Resource-云监控-阿里云

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。

本文为您介绍云监控（Cms）为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。云监控（Cms）的RAM代码（RamCode）为 cms、log、arms，支持的授权粒度为资源级。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源ARN来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是云监控（Cms）定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的API接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作
cms:AddTags	AddTags	create	全部资源 ``	无	无
cms:ApplyMetricRuleTemplate	ApplyMetricRuleTemplate	create	*MetricRuleTemplate `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:BatchCreateInstantSiteMonitor	BatchCreateInstantSiteMonitor	create	全部资源 ``	无	无
cms:BatchExport	BatchExport	list	全部资源 ``	无	无
cms:CreateCustomNamespace	CreateHybridMonitorNamespace	create	全部资源 ``	无	无
cms:CreateDynamicTagGroup	CreateDynamicTagGroup	create	全部资源 ``	无	无
cms:CreateGroupMetricRules	CreateGroupMetricRules	create	*GroupMetricRule `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:CreateGroupMonitoringAgentProcess	CreateGroupMonitoringAgentProcess	create	*GroupMonitoringAgentProcess `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:CreateHostAvailability	CreateHostAvailability	create	*HostAvailability `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:CreateHybridMonitorSLSGroup	CreateHybridMonitorSLSGroup	create	全部资源 ``	无	无
cms:CreateHybridMonitorTask	CreateHybridMonitorTask	create	全部资源 ``	无	无
cms:CreateInstantSiteMonitor	CreateInstantSiteMonitor	create	全部资源 ``	无	无
cms:CreateMetricRuleBlackList	CreateMetricRuleBlackList	create	全部资源 ``	无	无
cms:CreateMetricRuleResources	CreateMetricRuleResources	create	全部资源 ``	无	无
cms:CreateMetricRuleTemplate	CreateMetricRuleTemplate	create	全部资源 ``	无	无
cms:CreateMonitorAgentProcess	CreateMonitorAgentProcess	create	全部资源 ``	无	无
cms:CreateMonitorGroup	CreateMonitorGroup	create	全部资源 ``	无	无
cms:CreateMonitorGroupByResourceGroupId	CreateMonitorGroupByResourceGroupId	create	全部资源 ``	无	无
cms:CreateMonitorGroupInstances	CreateMonitorGroupInstances	create	全部资源 ``	无	无
cms:CreateMonitorGroupNotifyPolicy	CreateMonitorGroupNotifyPolicy	create	全部资源 ``	无	无
cms:CreateMonitoringAgentProcess	CreateMonitoringAgentProcess	create	全部资源 ``	无	无
cms:CreateSiteMonitor	CreateSiteMonitor	create	全部资源 ``	无	无
cms:Cursor	Cursor	list	全部资源 ``	无	无
cms:DeleteContact	DeleteContact	delete	全部资源 ``	无	无
cms:DeleteContactGroup	DeleteContactGroup	delete	全部资源 ``	无	无
cms:DeleteCustomMetric	DeleteCustomMetric	delete	全部资源 ``	无	无
cms:DeleteCustomNamespace	DeleteHybridMonitorNamespace	delete	全部资源 ``	无	无
cms:DeleteDynamicTagGroup	DeleteDynamicTagGroup	delete	全部资源 ``	无	无
cms:DeleteEventRuleTargets	DeleteEventRuleTargets	delete	全部资源 ``	无	无
cms:DeleteEventRules	DeleteEventRules	delete	全部资源 ``	无	无
cms:DeleteGroupMonitoringAgentProcess	DeleteGroupMonitoringAgentProcess	delete	全部资源 ``	无	无
cms:DeleteHostAvailability	DeleteHostAvailability	delete	*HostAvailability `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:DeleteHybridMonitorSLSGroup	DeleteHybridMonitorSLSGroup	delete	全部资源 ``	无	无
cms:DeleteHybridMonitorTask	DeleteHybridMonitorTask	delete	全部资源 ``	无	无
cms:DeleteLogMonitor	DeleteLogMonitor	delete	全部资源 ``	无	无
cms:DeleteMetricRuleBlackList	DeleteMetricRuleBlackList	delete	全部资源 ``	无	无
cms:DeleteMetricRuleResources	DeleteMetricRuleResources	delete	全部资源 ``	无	无
cms:DeleteMetricRuleTargets	DeleteMetricRuleTargets	delete	全部资源 ``	无	无
cms:DeleteMetricRuleTemplate	DeleteMetricRuleTemplate	delete	全部资源 ``	无	无
cms:DeleteMetricRules	DeleteMetricRules	delete	全部资源 ``	无	无
cms:DeleteMonitorGroup	DeleteMonitorGroup	delete	全部资源 ``	无	无
cms:DeleteMonitorGroupDynamicRule	DeleteMonitorGroupDynamicRule	delete	全部资源 ``	无	无
cms:DeleteMonitorGroupInstances	DeleteMonitorGroupInstances	delete	*MonitorGroupInstances `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:DeleteMonitorGroupNotifyPolicy	DeleteMonitorGroupNotifyPolicy	delete	全部资源 ``	无	无
cms:DeleteMonitoringAgentProcess	DeleteMonitoringAgentProcess	delete	全部资源 ``	无	无
cms:DeleteSiteMonitors	DeleteSiteMonitors	delete	全部资源 ``	无	无
cms:DescribeActiveMetricRuleList	DescribeActiveMetricRuleList	get	全部资源 ``	无	无
cms:DescribeAlertLogCount	DescribeAlertLogCount	get	全部资源 ``	无	无
cms:DescribeAlertLogHistogram	DescribeAlertLogHistogram	get	全部资源 ``	无	无
cms:DescribeAlertLogList	DescribeAlertLogList	get	全部资源 ``	无	无
cms:DescribeAlertingMetricRuleResources	DescribeAlertingMetricRuleResources	get	全部资源 ``	无	无
cms:DescribeContactGroupList	DescribeContactGroupList	get	全部资源 ``	无	无
cms:DescribeContactList	DescribeContactList	get	全部资源 ``	无	无
cms:DescribeContactListByContactGroup	DescribeContactListByContactGroup	get	全部资源 ``	无	无
cms:DescribeCustomEventAttribute	DescribeCustomEventAttribute	get	全部资源 ``	无	无
cms:DescribeCustomEventCount	DescribeCustomEventCount	get	全部资源 ``	无	无
cms:DescribeCustomEventHistogram	DescribeCustomEventHistogram	get	全部资源 ``	无	无
cms:DescribeCustomMetricDataPoint	DescribeHybridMonitorDataList	list	全部资源 ``	无	无
cms:DescribeCustomMetricList	DescribeCustomMetricList	get	全部资源 ``	无	无
cms:DescribeCustomNamespace	DescribeHybridMonitorNamespaceList	get	全部资源 ``	无	无
cms:DescribeDynamicTagRuleList	DescribeDynamicTagRuleList	get	全部资源 ``	无	无
cms:DescribeEventRuleAttribute	DescribeEventRuleAttribute	get	全部资源 ``	无	无
cms:DescribeEventRuleList	DescribeEventRuleList	get	全部资源 ``	无	无
cms:DescribeEventRuleTargetList	DescribeEventRuleTargetList	get	全部资源 ``	无	无
cms:DescribeGroupMonitoringAgentProcess	DescribeGroupMonitoringAgentProcess	get	全部资源 ``	无	无
cms:DescribeHostAvailabilityList	DescribeHostAvailabilityList	get	全部资源 ``	无	无
cms:DescribeHybridMonitorSLSGroup	DescribeHybridMonitorSLSGroup	get	全部资源 ``	无	无
cms:DescribeHybridMonitorTaskList	DescribeHybridMonitorTaskList	list	全部资源 ``	无	无
cms:DescribeLogMonitorAttribute	DescribeLogMonitorAttribute	get	全部资源 ``	无	无
cms:DescribeLogMonitorList	DescribeLogMonitorList	get	全部资源 ``	无	无
cms:DescribeMetricRuleBlackList	DescribeMetricRuleBlackList	list	全部资源 ``	无	无
cms:DescribeMetricRuleCount	DescribeMetricRuleCount	get	全部资源 ``	无	无
cms:DescribeMetricRuleList	DescribeMetricRuleList	get	全部资源 ``	无	无
cms:DescribeMetricRuleTargets	DescribeMetricRuleTargets	list	全部资源 ``	无	无
cms:DescribeMetricRuleTemplateAttribute	DescribeMetricRuleTemplateAttribute	get	全部资源 ``	无	无
cms:DescribeMetricRuleTemplateList	DescribeMetricRuleTemplateList	get	全部资源 ``	无	无
cms:DescribeMonitorGroupCategories	DescribeMonitorGroupCategories	get	*MonitorGroup `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:DescribeMonitorGroupDynamicRules	DescribeMonitorGroupDynamicRules	get	全部资源 ``	无	无
cms:DescribeMonitorGroupInstanceAttribute	DescribeMonitorGroupInstanceAttribute	get	*MonitorGroupInstances `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:DescribeMonitorGroupInstances	DescribeMonitorGroupInstances	get	全部资源 ``	无	无
cms:DescribeMonitorGroupNotifyPolicyList	DescribeMonitorGroupNotifyPolicyList	get	全部资源 ``	无	无
cms:DescribeMonitorGroups	DescribeMonitorGroups	get	全部资源 ``	无	无
cms:DescribeMonitorResourceQuotaAttribute	DescribeMonitorResourceQuotaAttribute	get	全部资源 ``	无	无
cms:DescribeMonitoringAgentAccessKey	DescribeMonitoringAgentAccessKey	get	全部资源 ``	无	无
cms:DescribeMonitoringAgentConfig	DescribeMonitoringAgentConfig	get	全部资源 ``	无	无
cms:DescribeMonitoringAgentHosts	DescribeMonitoringAgentHosts	get	全部资源 ``	无	无
cms:DescribeMonitoringAgentProcesses	DescribeMonitoringAgentProcesses	get	全部资源 ``	无	无
cms:DescribeMonitoringAgentStatuses	DescribeMonitoringAgentStatuses	get	全部资源 ``	无	无
cms:DescribeMonitoringConfig	DescribeMonitoringConfig	get	全部资源 ``	无	无
cms:DescribeProductResourceTagKeyList	DescribeProductResourceTagKeyList	get	全部资源 ``	无	无
cms:DescribeProductsOfActiveMetricRule	DescribeProductsOfActiveMetricRule	get	全部资源 ``	无	无
cms:DescribeSiteMonitorAttribute	DescribeSiteMonitorAttribute	get	全部资源 ``	无	无
cms:DescribeSiteMonitorData	DescribeSiteMonitorData	get	全部资源 ``	无	无
cms:DescribeSiteMonitorISPCityList	DescribeSiteMonitorISPCityList	get	全部资源 ``	无	无
cms:DescribeSiteMonitorList	DescribeSiteMonitorList	get	全部资源 ``	无	无
cms:DescribeSiteMonitorLog	DescribeSiteMonitorLog	list	全部资源 ``	无	无
cms:DescribeSiteMonitorQuota	DescribeSiteMonitorQuota	get	全部资源 ``	无	无
cms:DescribeSiteMonitorStatistics	DescribeSiteMonitorStatistics	get	全部资源 ``	无	无
cms:DescribeSyntheticProbeList	DescribeSyntheticProbeList	none	全部资源 ``	无	无
cms:DescribeSystemEventAttribute	DescribeSystemEventAttribute	get	全部资源 ``	无	无
cms:DescribeSystemEventCount	DescribeSystemEventCount	get	全部资源 ``	无	无
cms:DescribeSystemEventHistogram	DescribeSystemEventHistogram	get	全部资源 ``	无	无
cms:DescribeTagKeyList	DescribeTagKeyList	get	全部资源 ``	无	无
cms:DescribeTagValueList	DescribeTagValueList	get	全部资源 ``	无	无
cms:DescribeUnhealthyHostAvailability	DescribeUnhealthyHostAvailability	get	全部资源 ``	无	无
cms:DisableActiveMetricRule	DisableActiveMetricRule	update	全部资源 ``	无	无
cms:DisableEventRules	DisableEventRules	update	全部资源 ``	无	无
cms:DisableHostAvailability	DisableHostAvailability	update	*HostAvailability `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:DisableMetricRules	DisableMetricRules	update	全部资源 ``	无	无
cms:DisableSiteMonitors	DisableSiteMonitors	update	全部资源 ``	无	无
cms:EnableActiveMetricRule	EnableActiveMetricRule	update	全部资源 ``	无	无
cms:EnableEventRules	EnableEventRules	update	全部资源 ``	无	无
cms:EnableHostAvailability	EnableHostAvailability	update	全部资源 ``	无	无
cms:EnableMetricRuleBlackList	EnableMetricRuleBlackList	update	全部资源 ``	无	无
cms:EnableMetricRules	EnableMetricRules	update	全部资源 ``	无	无
cms:EnableSiteMonitors	EnableSiteMonitors	update	全部资源 ``	无	无
cms:InstallMonitoringAgent	InstallMonitoringAgent	create	全部资源 ``	无	无
cms:ModifyGroupMonitoringAgentProcess	ModifyGroupMonitoringAgentProcess	update	*MonitoringAgentProcess `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:ModifyHostAvailability	ModifyHostAvailability	update	全部资源 ``	无	无
cms:ModifyHostInfo	ModifyHostInfo	update	全部资源 ``	无	无
cms:ModifyHybridMonitorSLSGroup	ModifyHybridMonitorSLSGroup	create	全部资源 ``	无	无
cms:ModifyHybridMonitorTask	ModifyHybridMonitorTask	update	全部资源 ``	无	无
cms:ModifyMetricRuleBlackList	ModifyMetricRuleBlackList	update	全部资源 ``	无	无
cms:ModifyMetricRuleTemplate	ModifyMetricRuleTemplate	update	全部资源 ``	无	无
cms:ModifyMonitorGroup	ModifyMonitorGroup	update	*MonitorGroup `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:ModifyMonitorGroupInstances	ModifyMonitorGroupInstances	update	全部资源 ``	无	无
cms:ModifySiteMonitor	ModifySiteMonitor	update	全部资源 ``	无	无
cms:PutContact	PutContact	create	全部资源 ``	无	无
cms:PutContactGroup	PutContactGroup	create	全部资源 ``	无	无
cms:PutCustomEvent	PutCustomEvent	create	全部资源 ``	无	无
cms:PutCustomEventRule	PutCustomEventRule	create	全部资源 ``	无	无
cms:PutCustomMetric	PutCustomMetric	create	全部资源 ``	无	无
cms:PutCustomMetricRule	PutCustomMetricRule	create	全部资源 ``	无	无
cms:PutEventRule	PutEventRule	create	全部资源 ``	无	无
cms:PutEventRuleTargets	PutEventRuleTargets	create	全部资源 ``	无	无
cms:PutGroupMetricRule	PutGroupMetricRule	create	*GroupMetricRule `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:PutHybridMonitorMetricData	PutHybridMonitorMetricData	create	全部资源 ``	无	无
cms:PutLogMonitor	PutLogMonitor	create	全部资源 ``	无	无
cms:PutMetricRuleTargets	PutMetricRuleTargets	create	全部资源 ``	无	无
cms:PutMonitorGroupDynamicRule	PutMonitorGroupDynamicRule	create	*MonitorGroup `acs:cms::{#accountId}:group/{#groupId}`	无	无
cms:PutMonitoringConfig	PutMonitoringConfig	create	全部资源 ``	无	无
cms:PutResourceMetricRule	PutResourceMetricRule	create	全部资源 ``	无	无
cms:PutResourceMetricRules	PutResourceMetricRules	create	全部资源 ``	无	无
cms:QueryMetricData	DescribeMetricData	get	全部资源 ``	无	无
cms:QueryMetricLast	DescribeMetricLast	get	全部资源 ``	无	无
cms:QueryMetricList	DescribeMetricList	get	全部资源 ``	无	无
cms:QueryMetricTop	DescribeMetricTop	get	全部资源 ``	无	无
cms:RemoveTags	RemoveTags	delete	全部资源 ``	无	无
cms:SendDryRunSystemEvent	SendDryRunSystemEvent	none	全部资源 ``	无	无
cms:UninstallMonitoringAgent	UninstallMonitoringAgent	delete	全部资源 ``	无	无
cms:UpdateCustomNamespace	ModifyHybridMonitorNamespace	update	全部资源 ``	无	无

资源（Resource）

下表是云监控（Cms）定义的资源，这些资源可以在RAM权限策略语句的Resource元素中使用，用来授予对该资源执行具体操作的权限。其中，资源ARN是资源在阿里云上的唯一标识。具体说明如下：

{#}为变量标识，需要您替换为实际值。例如：{#ramcode}需要您替换为实际的云服务RAM代码。
*表示全部。例如：
- {#resourceType}为*时：表示全部资源。
- {#regionId}为*时：表示全部地域。
- {#accountId}为*时：表示全部阿里云账号。

资源类型	资源ARN
AlarmContact	acs:cms:{#regionId}:{#accountId}:AlarmContact/*
GroupMetricRule	acs:cms::{#accountId}:group/{#groupId}
GroupMonitoringAgentProcess	acs:cms::{#accountId}:group/{#groupId}
HostAvailability	acs:cms::{#accountId}:group/{#groupId} acs:cms:{#regionId}:{#accountId}:HostAvailability/*
HybridMonitorNamespace	acs:cms,log,arms::{#accountId}:hybridmonitornamespace/* acs:cms::{#accountId}:
InstantSiteMonitor	acs:cms:{#regionId}:{#accountId}:instantsitemonitor/*
LogMonitor	acs:cms::{#accountId}:group/{#groupId}
MetricRuleTargets	acs:cms::{#accountId}:*
MetricRuleTemplate	acs:cms::{#accountId}:group/{#groupId}
MonitorGroup	acs:cms::{#accountId}:group/{#groupId}
MonitorGroupInstances	acs:cms::{#accountId}:group/{#groupId}
MonitoringAgentProcess	acs:cms::{#accountId}:group/{#groupId}
SiteMonitor	acs:cloudmonitorservice:{#regionId}:{#accountId}:sitemonitor/{#TaskId} acs:cloudmonitorservice::{#accountId}:*
SlsGroup	acs:cms:{#regionId}:{#accountId}:SlsGroup/SlsGroupId acs:cms:{#regionId}:{#accountId}:SlsGroup/*
SystemEvent	acs:cms::{#accountId}:group/{#groupId}

条件（Condition）

云监控（Cms）未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字，请参见通用条件关键字。

授权信息

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作