主账号发生无权限访问如何解决?
子账号身份使用 TSF 发生无权限报错如何解决?
使用控制台时,提示“当前账号尚未获得操作权限[action],请联系主账号授权”如何解决?
您可根据提示的 action 判断:
是否是 TSF 产品内的权限。若出现明显的 CVM、TKE、VPC 字样,则需要主账号在 CAM 策略 中,配置相关读写权限。
若根据 action 语义判断,属于 TSF 内的功能权限。您可参考 角色管理,申请主账号为您配置相应权限点。
子账号使用 TSF 时,弹窗提示 “您没有权限执行此操作”如何解决?
问题描述:
子账号使用 TSF 平台时,可能报错 “您没有权限执行此操作”,显示如下:
问题分析:
在使用 TSF 平台时,需要调用其他云产品的接口获取一些信息,包含 VPC、CVM、API 网关、镜像仓库、腾讯云可观测平台、TKE 等云产品。
解决方法:
建议对子账号授权 tsf_PassRole 策略,如果没有,需要主账号或者具有 QcloudCamRoleFullAccess 策略的用户创建角色。
要将角色(及其许可策略)传递至 TSF 服务,用户必须具有传递角色至服务的许可。这有助于管理员确保仅被批准的用户可配置具有能够授予许可的角色的服务。具体参考 子账号获取访问授权-授予访问其他云产品权限。
最终子账号需被授予如下策略:
策略 | 是否必选 | 说明 |
tsf_PassRole | 必选 | 手动创建。 |
QcloudCamSubaccountsAuthorizeRoleFull | 可选 | 访问管理(CAM)子账号授权服务角色相关权限,包含子账号在授权服务角色过程中涉及的全部权限。 |
QcloudTSFFullAccess | 可选 | 腾讯微服务平台(TSF)全读写访问权限。 |
QcloudCCRFullAccess | 可选 | 与镜像仓库相关,如果需要使用 TSF 中容器相关功能需要授权。 |
QcloudVPCReadOnlyAccess | 可选 | 如果需要读取集群 VPC 等信息需要授权。 |