CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
用户类型
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户、企业微信子用户、协作者和消息接收人。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用弹性微服务
协作者与子账号使用弹性微服务时,需要对三方面进行授权:
1. 要将角色(及其许可策略)传递至弹性微服务服务,用户必须具有传递角色至服务的许可,即创建 PassRole 策略。详细操作参考 授予 PassRole 策略。 2. 使用弹性微服务的权限,您可以通过授予子账号 QcloudTEMFullAccess 策略给予子账号使用弹性微服务的全量权限或者QcloudTEMReadOnlyAccess策略给予子账户只读权限。详细操作参考 [授予使用弹性微服务平台的权限](#授予使用 TEM 平台的权限)。
3. 使用 弹性微服务过程中,涉及到对其他产品的调用,需要主账号对子账号进行授权。详细说明参考 授予访问其他云产品权限。 授予 PassRole 策略
步骤1:新建策略
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 单击新建自定义策略。
4. 在选择创建策略方式的弹出框中,单击按策略语法创建,进入按策略语法创建页。
6. 填写策略名和内容,并单击创建策略。使用主账号或具有管理权限的子账号创建如下两个自定义策略,策略语法如下:
访问除了 CLS 外其他云产品资源:
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInAccessCluster"
}
}
访问 CLS 云产品资源:
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInTEMLog"
}
}
其中 ${OwnerUin}
为主账号 ID,从控制台 账号信息 页面获取。 步骤2:将策略绑定到用户
1. 在左侧导航栏,单击用户 > 用户列表,进入用户管理页面。 2. 选择要授予 TEM 使用权限的用户,单击操作列的授权。
3. 从策略列表中筛选出步骤一中的创建的策略。
4. 单击确定,绑定策略。该策略会显示在用户的策略列表中。
授予使用 TEM 平台的权限[](id:授予使用 TEM 平台的权限)
全读写策略
授权一个子用户以 TEM 服务的完全管理权限(创建、管理等全部操作)。
{
"version": "2.0",
"statement": [
{
"action": "tem:*",
"resource": "*",
"effect": "allow"
}
]
}
3. 在策略列表中,单击新建自定义策略。
4. 在选择创建策略方式的弹窗中,选择按策略语法创建。
5. 在模板类型中,搜索“tem”,选择弹性微服务全读写访问权限 QcloudTEMFullAccess,单击下一步。
6. 单击完成。
后续操作:将创建好的策略绑定到目标用户。
只读策略
授权一个子用户以弹性微服务的只读权限。
{
"version": "2.0",
"statement": [
{
"action": [
"tem:Describe*"
],
"resource": "*",
"effect": "allow"
}
]
}
3. 在策略列表中,单击新建自定义策略。
4. 在选择创建策略方式的弹窗中,选择按策略语法创建。
5. 在模板类型中,搜索“tem”,选择弹性微服务只读访问策略 QcloudTEMReadOnlyAccess,单击下一步。
6. 单击创建策略。
授予访问其他云产品权限
弹性微服务平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应弹性微服务产品功能的使用。
授权示例如下:
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cam:DescribeRoleList",
"cvm:DescribeSecurityGroups",
"vpc:DescribeVpcEx",
"vpc:DescribeSubnetEx",
"tse:DescribeSREInstances",
"cls:DescribeLogsets",
"cls:DescribeTopics",
"cfs:DescribeCfsFileSystems",
"ssl:DescribeCertificate",
"tcr:DescribeRepositoryOwnerPersonal",
"tcr:DescribeRepositories",
"tcr:DescribeInstances",
"tcr:DescribeInternalEndpoints",
"tcr:CreateInstanceToken"
],
"resource": [
"*"
]
}
]
}
本页内容是否解决了您的问题?