访问管理示例

最近更新时间:2023-06-08 14:48:05

我的收藏

使用场景

腾讯云数据连接器(APP Flow)是腾讯云控制台内的一款产品,使用腾讯云账号登录,支持 腾讯云(Cloud Access Management,CAM) 进行访问管理。您可以从腾讯云数据连接器产品界面跳转到腾讯云 CAM 中为您的腾讯云主账号添加子账号,腾讯云数据连接器会自动拉取当前主账号下的所有子账号作为普通成员进入成员列表进行访问。主账号作为系统管理员进入成员列表进行访问。
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在腾讯云数据连接器(APP Flow)控制台中查看和使用特定资源的权限。本文提供查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。

腾讯云数据连接器权限控制
访问管理(CAM)权限控制
联系
区别
角色
系统管理员(拥有腾讯云数据连接器最高使用权限)
主账户(拥有账户下所有资源的全部权限)
腾讯云数据连接器是腾讯腾讯云控制台内的一款产品,使用腾讯云账号登录,支持 腾讯云(Cloud Access Management,CAM)进行访问管理。您可以在腾讯云数据连接器产品界面跳转到腾讯云访问管理中为您的腾讯云主账号添加子账号,腾讯云数据连接器会自动拉取当前主账号下的所有子账号作为普通成员进入成员列表,拉取当前主账户作为系统管理员进入成员列表。
访问管理(CAM)和腾讯云数据连接器权限是两套独立的权限控制。访问管理(CAM)是针对腾讯云账号维度的权限控制。腾讯云数据连接器权限只在腾讯云数据连接器的集成项目层面生效。
项目管理员(拥有集成项目的最高权限)
普通成员(基本的读写权限和默认项目权限)
子账户(根据不同授权具备不同权限)
权限
设置/取消系统管理员
腾讯云数据连接器只读访问权限
设置/取消项目管理员
腾讯云数据连接器全读写访问权限
设置普通用户的单个应用权限为只读/编辑/编辑并发布

操作示例

添加子用户

引导用户添加子用户并授权腾讯云数据连接器 ,成为腾讯云数据连接器中的普通成员。操作步骤如下: 登录 腾讯云数据连接器控制台 , 选择成员管理 > 添加成员,单击前往 CAM 跳转至用户列表界面进行操作。
注意
拥有管理员权限(AdministratorAccess)或拥有 CAM 全部权限(QcloudCamFullAccess)的子账号才能创建子用户。创建子用户请参见 新建子用户




子用户授权管理

子用户授权管理请参见 授权管理

腾讯云数据连接器的全读写策略

如果您希望用户拥有创建和管理腾讯云数据连接器的权限,您可以对该用户使用名称为:QcloudEISFullAccess 的策略。该策略是通过让用户分别对腾讯云数据连接器所有接口和资源都具有操作的权限来达到目的。您可以参见 授权管理,将预设策略 QcloudEISFullAccess 授权给用户。



腾讯云数据连接器的只读策略

如果您希望用户拥有查询腾讯云数据连接器的权限,但是不具有创建、删除、修改的权限,您可以对该用户使用名称为:QcloudEISReadOnlyAccess 的策略。该策略是通过让用户分别对腾讯云数据连接器中所有以单词“Describe”、“Inquiry”开头的所有操作具有操作的权限来达到目的。您可以参见 授权管理,将预设策略 QcloudEISReadOnlyAccess 授权给用户。



自定义策略授权

如果您希望用户可以查看并检索腾讯云数据连接器控制台中运行日志的相关操作,可先将以下操作添加到您策略中,再将该策略关联到该用户。
DescribeHistoryLog 搜索历史日志
PullLog 拉取实时日志
SearchLog 搜索历史日志
操作步骤
1. 根据 策略,创建一个自定义策略。该策略只允许用户在腾讯云数据连接器控制台中查询实时和历史运行日志,其余读写查看列表操作均不允许。
策略内容可参考以下策略语法进行设置(JSON):
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"eis:DescribeHistoryLog",
"eis:PullLog",
"eis:SearchLog"
],
"resource": [
"*"
]
}
]
}
策略内容可参考以下策略语法进行设置(可视化策略生成器):


2. 找到创建的策略,在该策略行的“操作” 列中,单击关联用户/组


3. 在弹出的“关联用户/用户组”窗口中,选择您需要授权的用户/组,单击确定即可。



权限管理授权

授权用户拥有腾讯云数据连接器项目管理的操作权限。项目用于腾讯云数据连接器用户区分业务场景和权限划分,用户可以以项目维度管理集成应用。项目支持查看详情、修改名称和删除操作。
项目管理权限
角色
权限
系统管理员
拥有腾讯云数据连接器的最高使用权限,腾讯云主账号自动拥有系统管理员权限且无法撤销。系统管理员可授予、撤销任意成员系统管理员和项目管理员权限,可授予项目成员中任意普通用户对该集成项目中的某些集成应用的只读或读写权限。
项目管理员
拥有子用户腾讯云数据连接器相关权限和集成项目的最高权限,项目管理员可以对该集成项目下所有普通用户授予某些集成应用的只读或读写权限,可以授予或撤销项目管理员权限。
普通成员
拥有子用户腾讯云数据连接器相关权限和默认项目权限,腾讯云主账号下的所有子账号自动为腾讯云数据连接器平台的普通成员。

设置/解除系统管理员

系统管理员,可以对其他子账户操作设置/解除系统管理员。该腾讯云主账户默认为系统管理员且不可撤销。登录 腾讯云数据连接器控制台,选择成员管理 > 设置为/解除系统管理员



设置/解除项目管理员

系统管理员和项目管理员可以对其他子账户操作设置/解除项目管理员。登录 腾讯云数据连接器控制台,选择集成项目 > 项目成员管理,可自行配置项目成员相关权限。



授权用户特定操作权限

如果您希望授权用户特定腾讯云数据连接器应用的操作权限,可使用腾讯云数据连接器内部的项目管理功能。系统管理员和项目管理员可以对其他子账户操作修改项目内其他应用的只读或读写权限。登录 腾讯云数据连接器控制台,选择项目管理,单击成员管理选择指定成员可修改该成员对应项目下单个应用的权限为只读/编辑/编辑并发布,合理控制不同成员对应不同应用的权限。