- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- CKafka 连接器
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- DataHub APIs
- ACL APIs
- Topic APIs
- BatchModifyGroupOffsets
- BatchModifyTopicAttributes
- CreateConsumer
- CreateDatahubTopic
- CreatePartition
- CreateTopic
- CreateTopicIpWhiteList
- DeleteTopic
- DeleteTopicIpWhiteList
- DescribeDatahubTopic
- DescribeTopic
- DescribeTopicAttributes
- DescribeTopicDetail
- DescribeTopicProduceConnection
- DescribeTopicSubscribeGroup
- FetchMessageByOffset
- FetchMessageListByOffset
- ModifyDatahubTopic
- ModifyTopicAttributes
- DescribeTopicSyncReplica
- Instance APIs
- Route APIs
- Other APIs
- Data Types
- Error Codes
- SDK 文档
- 通用参考
- 常见问题
- 服务等级协议
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- CKafka 连接器
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- DataHub APIs
- ACL APIs
- Topic APIs
- BatchModifyGroupOffsets
- BatchModifyTopicAttributes
- CreateConsumer
- CreateDatahubTopic
- CreatePartition
- CreateTopic
- CreateTopicIpWhiteList
- DeleteTopic
- DeleteTopicIpWhiteList
- DescribeDatahubTopic
- DescribeTopic
- DescribeTopicAttributes
- DescribeTopicDetail
- DescribeTopicProduceConnection
- DescribeTopicSubscribeGroup
- FetchMessageByOffset
- FetchMessageListByOffset
- ModifyDatahubTopic
- ModifyTopicAttributes
- DescribeTopicSyncReplica
- Instance APIs
- Route APIs
- Other APIs
- Data Types
- Error Codes
- SDK 文档
- 通用参考
- 常见问题
- 服务等级协议
- 联系我们
- 词汇表
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账户体系
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 CKafka
子账号使用 CKafka 时,需要对两方面进行授权:
1. 使用 CKafka 的过程中,涉及到访问用户其他的云产品资源(VPC、CVM 等),如查看用户子网所在的可用区信息等场景。因此,需要授予子账号访问其他云产品的权限,详细操作参见 步骤一:授予子账号访问其他云产品的权限。
2. 子账号使用 CKafka 还需要获得读写权限,详细操作参见 步骤二:授予子账号使用 CKafka 的权限。
步骤一:授予子账号访问其他云产品的权限
新建自定义访问其他云产品策略
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏选择策略,单击新建自定义策略。
3. 在选择创建策略方式的弹出框中,选择按策略语法创建,进入按策略语法创建页。
4. 在 按策略语法创建页 中,选择空白模板,并单击下一步。
5. 您可参照下方调用接口表格和策略语法,根据实际需要,授予子账号合适的其他云产品调用权限,生成自定义策略,填写所有信息后单击完成。
CKafka 使用中涉及到以下云产品的调用,主账号需要对子账号进行单独授权才能保证对应 CKafka 产品功能的使用。自定义策略中 CKafka 中涉及到的对云产品的调用如下:
云产品 | 接口名 | 接口作用 | 影响到 TSE 平台的操作 |
云服务器(CVM) | DescribeZones | 查询可用区 | 创建实例时查看子网所在可用区 |
私有网络(VPC) | DescribeVpcs | 查询 VPC 列表 | 创建实例时选择实例访问地址所属 VPC |
私有网络(VPC) | DescribeSubnets | 查询 VPC 列表 | 创建实例时选择实例访问地址所属子网 |
腾讯云可观测平台
(Monitor) | GetMonitorData | 拉取指标监控数据 | 查看 CKafka 中监控数据 |
腾讯云可观测平台
(Monitor) | DescribeDashboardMetricData | 拉取指标监控数据 | 查看 CKafka 中监控数据 |
策略语法示例如下:
{"version": "2.0","statement": [{"effect": "allow","action": ["vpc:DescribeVpcEx","vpc:DescribeSubnetEx","monitor:GetMonitorData","monitor:DescribeDashboardMetricData",],"resource": ["*"]}]}
将自定义策略关联到子账户
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 在右侧单击自定义策略进行筛选,找到步骤1.1中创建好的自定义策略,单击操作列的关联用户/组/角色。
4. 选择需要授予该权限的子账号,单击确定即可完成授权。
5. 单击确定完成授权。该策略会显示在用户的策略列表中。
步骤二:授予子账号使用 CKafka 权限
相关操作可参见以下文档:
操作级授权
资源级授权
标签级授权
是
否
本页内容是否解决了您的问题?