CAM 개요
Cloud Access Management(CAM)는 Tencent Cloud 리소스에 대한 액세스를 관리하는 데 도움이 되는 Tencent Cloud 인증 및 권한 부여 서비스입니다. 승인된 객체, 리소스 및 작업을 관리하고 권한을 부여할 때 액세스를 제어하는 정책을 설정할 수 있습니다.
기능
루트 계정에서 리소스에 대한 액세스 권한 부여
루트 계정의 자격 증명을 공유하지 않고도 서브 계정 및 기타 루트 계정을 비롯한 다른 사용자에게 루트 계정의 리소스에 대한 액세스 권한을 부여할 수 있습니다.
세분화된 권한 관리
사용자별로 각 리소스에 대해 각각 다른 액세스 권한을 부여할 수 있습니다. 예를 들어 일부 서브 계정에 Cloud Object Storage(COS) 버킷에 대한 읽기 액세스 권한을 부여하고, 다른 서브 계정 또는 루트 계정에는 COS 객체에 대한 쓰기 액세스 권한을 부여할 수 있습니다. 또한 상기 리소스, 액세스 권한, 사용자를 일괄적으로 관리할 수도 있습니다.
최종 일관성
CAM은 현재 정책 복사를 통한 Tencent Cloud 리전 간의 데이터 동기화를 지원합니다. CAM 정책은 적시에 수정할 수 있지만 리전 간 정책 동기화가 적용되는 데 시간이 걸릴 수 있습니다. 또한 CAM은 캐시(현재 1분 동안 유효)를 사용하여 성능을 개선하며 캐시가 만료될 때까지 정책 업데이트가 적용되지 않습니다.
응용 시나리오
기업의 서브 계정 액세스 권한 관리
기업 내의 각 직급별 직원은 해당 기업의 클라우드 리소스에 대한 최소한의 액세스 권한이 필요합니다. 예를 들어 CVM, VPC 인스턴스, CDN 인스턴스, COS 버킷 및 객체 등 방대한 클라우드 리소스를 가지고 있고 개발자, 테스트 직원, 유지보수 직원 등을 포함한 수 많은 직원이 근무하고 있는 기업이 있다고 가정합니다.
개발자는 개발 서버의 프로젝트 관련 클라우드 리소스에 대한 읽기 및 쓰기 권한이 필요하며, 테스트 직원은 테스트 서버의 프로젝트 관련 클라우드 리소스에 대한 읽기 및 쓰기 권한이 필요하고, 유지보수 직원은 서버의 구매 및 일상 유지보수를 책임져야 합니다. 직원의 직무나 프로젝트가 변경된 경우 해당 권한을 종료해야 합니다.
기업 간의 액세스 권한 관리
기업 간에 클라우드 리소스를 공유해야 하는 경우가 있습니다. 예를 들어 클라우드 리소스가 많은 회사는 제품 R&D에 집중하고 클라우드 리소스 운영을 다른 회사에 아웃소싱하려고 하며, 또한 아웃소싱 서비스 계약이 종료되는 즉시 부여된 모든 권한을 취소해야 합니다.
정책 구문
CAM 정책(policy)은 여러 요소로 구성되며 권한 부여에 대한 특정 정보를 설명하는 데 사용됩니다. 핵심 요소는 주체(principal), 작업(action), 리소스(resource), 조건(condition), 효과(effect)가 있으며, 자세한 내용은 액세스 정책 언어 개요를 참고하십시오. 설명:
정책 구문의 설명에는 특별한 순서가 없으며, 행동(action) 요소는 영어 대소문자를 구분합니다.
특정 조건이 필요하지 않은 경우 condition 요소는 옵션 항목입니다.
콘솔에서는 principal 요소는 정의할 수 없으며, 정책 관리 API 또는 정책 구문 관련 매개변수에서를 통해서만 principal을 정의할 수 있습니다.
핵심 요소
|
| 정책 구문 버전을 지정합니다. 유효 값: 2.0 | |
| 사용자(개발자, 서브 계정, 익명의 사용자) 및 사용자 그룹이 포함하여 정책에 의해 권한이 부여되는 엔터티를 설명합니다. | 정책 관리 API 및 정책 구문 관련 매개변수에서만 해당 요소를 사용할 수 있습니다. |
| action, resource, condition, effect 등 다른 요소에 의해 정의된 권한 또는 권한 집합에 대한 세부 정보를 설명합니다. 하나의 정책에는 하나의 statement만 있습니다. | |
| 허용 또는 거부할 작업을 설명합니다. API 작업 또는 API 작업 집합일 수 있습니다. 작업(action) 요소는 영어 대소문자를 구분합니다. 예: name/cos:GetService | |
| 권한이 적용되는 리소스를 설명합니다. 리소스는 6세그먼트 형식으로 설명됩니다. 자세한 리소스 정의는 제품에 따라 다릅니다. 리소스를 지정하는 방법에 대한 자세한 내용은 다음 항목에 대한 설명을 작성할 해당 리소스가 있는 제품 문서를 참고하십시오. | |
| 정책이 적용되는 조건을 설명합니다. 조건은 연산자, 작업 키 및 작업 값으로 구성됩니다. 조건 값은 시간, IP 주소 등이 될 수 있습니다. 일부 서비스에서는 조건에 추가 값을 지정할 수 있습니다. | |
| 명령문 결과가 allow(허용)인지 deny(명시적 거부)인지를 설명합니다. | |
정책 제한
|
| |
| |
| |
| |
| |
| |
루트 계정에 대해 생성된 사용자 지정 정책 수 | |
CAM 사용자/사용자 그룹/역할에 연결된 정책 수 | |
| |
정책 예시
다음은 ID가 100000000001(APPID는 1250000000)인 루트 계정 아래의 ID가 100000000011인 서브 계정에 베이징 리전의 버킷 examplebucket-bj와 광저우 리전의 버킷 examplebucket-gz의 객체 exampleobject에 대해, 액세스 IP가 10.*.*.10/24
대역인 경우 객체 업로드 및 객체 다운로드 권한을 부여하는 정책 예시입니다.
{
"version": "2.0",
"principal":{
"qcs": ["qcs::cam::uin/100000000001:uin/100000000011"]
},
"statement": [{
"effect": "allow",
"action": ["name/cos:PutObject", "name/cos:GetObject"],
"resource": ["qcs::cos:ap-beijing:uid/1250000000:examplebucket-bj-1250000000/*",
"qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-gz-1250000000/exampleobject"
],
"condition":{
"ip_equal":{
"qcs:ip": "10.*.*.10/24"
}
}
}]
}
문제 해결에 도움이 되었나요?