控制台访问管理

最近更新时间：2023-12-06 16:59:02

我的收藏

本页目录：

﻿访问管理（Cloud Access Management，CAM）是腾讯云提供的一套 Web 服务，它主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。通过 CAM，您可以创建、管理和销毁用户（组），并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。
说明：
2023年10月18日之前开通人脸核身服务的客户暂不支持使用新版控制台访问管理功能，如有需要请联系我们添加配置。
为子账号授予权限
慧眼人脸核身已经接入了 CAM，支持预设策略（推荐）和自定义策略两种方式，您可以根据自身需要，在 访问管理控制台 中为子账号或协作者账号分配合适的人脸核身访问权限。
在授予子账号权限之后，子账号才能调用人脸核身服务和登录使用人脸核身控制台。
预设策略说明
人脸核身的预设策略分为以下3种，您可以选择其中一种权限授予给子账号，所有预设策略只对人脸核身控制台的功能范围进行区分。
1. QcloudFaceIdFullAccess ：全读写权限。权限范围最大的预设策略，可以对主账号及主账号下所有子账号的相关项目信息进行查看、修改、停用、人工审核等管理操作。若您将全读写策略授予子账号，那么它将能够和主账号一样可以管理您所有账号下的项目信息。
2. QcloudFaceidReadOnlyAccess ：只读权限。仅可以查看主账号及主账号下所有子账号（包含子账号自身）的相关项目信息，无法进行创建、修改、停用、人工审核等管理操作。
3. QcloudFaceidSelfAccountAccess ：自读写权限。仅可以对子账号自己创建的项目信息进行查看、修改、停用、人工审核等操作，无法查看或管理其他子账号创建的项目。
三类预设策略的详细区别：
人脸核身功能
功能细分
全读写
只读
自读写
控制台 > 自助接入
查看自己账号下创建的业务流程信息
✅
✅
✅
﻿
查看所有主/子账号创建的业务流程信息
✅
✅
❌
﻿
创建业务流程（仅可在自己账号下创建）
✅
❌
✅
﻿
修改/停用自己创建的业务流程
✅
❌
✅
﻿
修改/停用其他账号创建的业务流程
✅
❌
❌
控制台 > 计费统计
查看自己的计费数据
✅
✅
✅
﻿
查看所有主/子账号的计费数据
✅
✅
❌
控制台 > 数据分析
查看自己的数据分析
✅
✅
✅
﻿
查看所有主/子账号的数据分析
✅
✅
❌
控制台 > 资源包管理
查看所有主/子账号的资源包余量（资源包为所有账号共用）
✅
✅
✅
控制台 > 验证记录
查看自己账号的验证记录
✅
✅
✅
﻿
查看所有主/子账号的验证记录
✅
✅
❌
控制台 > 人工审核
查看自己账号的验证记录
✅
✅
✅
﻿
查看所有主/子账号的验证记录
✅
✅
❌
﻿
审核自己账号下的验证记录
✅
❌
✅
﻿
审核所有主/子账号的验证记录
✅
❌
❌
控制台 > 数据加密服务
查看创建的密钥
✅
✅
✅
﻿
开通加密服务
✅
❌
❌
控制台 > 数据存储服务
查看存储路径
✅
✅
✅
﻿
开通存储服务
✅
❌
❌
控制台 > 订阅日报
生成订阅链接
✅
✅
✅
﻿
解绑订阅的微信
✅
✅
✅
﻿
订阅日报展示自己账号的计费统计
✅
✅
✅
﻿
订阅日报展示所有主/子账号的计费统计
✅
✅
❌
控制台 > 后付费设置
查看后付费配置信息
✅
✅
✅
﻿
修改后付费设置
✅
❌
❌
慧眼服务接口
调用慧眼线上服务接口
✅
✅
✅
预设策略配置方式
预设策略可以在 访问管理控制台 中进行授权。
1. 方式一：如下图所示，进入访问管理 > 策略，搜索“QcloudFaceid”，可看到人脸核身的三类预设策略：
﻿

可根据您的自身需要选择对应的预设策略去关联子账号：
﻿
﻿
2. 方式二：如图所示，进入用户 > 用户列表，可选择子用户，单击授权进行关联策略操作。
﻿

选择关联策略，单击确定即可完成授权。
﻿
﻿
说明
 关联策略时，如无特殊的权限需求，我们推荐您使用预设策略。
自定义策略说明
若预设策略不能满足您的需求，可自行创建自定义策略。人脸核身的自定义策略目前支持的是接口级授权方式：
接口级授权：您可以在 CAM 控制台中按接口维度给子账户授权，子账户将只能使用您已授权	的接口。可参考使用示例中授予单个接口权限的操作。
自定义策略配置方式
自定义策略也需要在 访问管理控制台 中进行授权，和预设策略一致。
创建自定义策略的方式请参见 通过策略生成器创建自定义策略。
自定义策略语法
创建自定义策略时，接口级接口均遵循以下规则。
effect 字段填入"allow"，表示当子账号命中该策略时，允许对策略中配置的接口进行访问。
由于人脸核身只支持接口级授权方式，所以 resource 字段填入" * "。
action 字段用于配置账号需要访问的接口名，支持配置多个接口，每个接口按照"faceid:{接口名}"的格式填入，例如"faceid:SaveUserConf"。
以下为给子账户授予自助接入申请微信原生H5业务（SaveUserConf）、人工审核（ConsoleExecuteManualAudit）的授权。在 action 中填入对应的接口名：
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "faceid:SaveUserConf",
                "faceid:ConsoleExecuteManualAudit"
            ]
        }
    ]
}
自定义策略配置示例
1. 在 访问管理控制台 > 策略 中单击新建自定义策略。
﻿
﻿
2. 选择按策略语法创建。
﻿
﻿
3. 选择空白模板。
﻿
﻿
4. 输入自定义策略名和描述，并填入策略的 JSON 配置，单击完成。
﻿
﻿
5. 完成新建后，在策略页面中可以看到新增的自定义策略，并且可以关联到需要的子账号上。
﻿
﻿

上一篇: 创建告警下一篇: 敏感数据加密指引

人脸核身功能	功能细分	全读写	只读	自读写
控制台 > 自助接入	查看自己账号下创建的业务流程信息	✅	✅	✅
		查看所有主/子账号创建的业务流程信息	✅	✅	❌
		创建业务流程（仅可在自己账号下创建）	✅	❌	✅
		修改/停用自己创建的业务流程	✅	❌	✅
		修改/停用其他账号创建的业务流程	✅	❌	❌
控制台 > 计费统计	查看自己的计费数据	✅	✅	✅
控制台 > 计费统计		查看所有主/子账号的计费数据	✅	✅	❌
控制台 > 数据分析	查看自己的数据分析	✅	✅	✅
控制台 > 数据分析		查看所有主/子账号的数据分析	✅	✅	❌
控制台 > 资源包管理	查看所有主/子账号的资源包余量（资源包为所有账号共用）	✅	✅	✅
控制台 > 验证记录	查看自己账号的验证记录	✅	✅	✅
控制台 > 验证记录		查看所有主/子账号的验证记录	✅	✅	❌
控制台 > 人工审核	查看自己账号的验证记录	✅	✅	✅
		查看所有主/子账号的验证记录	✅	✅	❌
		审核自己账号下的验证记录	✅	❌	✅
		审核所有主/子账号的验证记录	✅	❌	❌
控制台 > 数据加密服务	查看创建的密钥	✅	✅	✅
控制台 > 数据加密服务		开通加密服务	✅	❌	❌
控制台 > 数据存储服务	查看存储路径	✅	✅	✅
控制台 > 数据存储服务		开通存储服务	✅	❌	❌
控制台 > 订阅日报	生成订阅链接	✅	✅	✅
		解绑订阅的微信	✅	✅	✅
		订阅日报展示自己账号的计费统计	✅	✅	✅
		订阅日报展示所有主/子账号的计费统计	✅	✅	❌
控制台 > 后付费设置	查看后付费配置信息	✅	✅	✅
控制台 > 后付费设置		修改后付费设置	✅	❌	❌
慧眼服务接口	调用慧眼线上服务接口	✅	✅	✅