本文档将介绍如何通过故障反馈关联策略以解除权限问题,解除权限问题后,子账号将在新设置的权限范围内管理主账号下的资源。
现象描述
当子账号访问数据安全网关(CASB)控制台时,产生如下提示:
解决思路
如您愿意授权子账号继续进行操作,您可以参见 操作步骤 为其关联以下任意预设策略:
QcloudCASBFullAccess 数据安全网关(CASB)全读写访问权限。
QcloudCASBReadOnlyAccess 数据安全网关(CASB)只读访问权限。
在使用数据安全网关(CASB)元数据功能时,会调用 VPC、云产品(MySQL/TDSQL/MariaDB)、CVM 及 LB 的资源,故子账号在使用时,需同步关联如下预设策略:
QcloudTAGReadOnlyAccess 标签(TAG)只读访问权限。
cloudVPCReadOnlyAccess 私有网络(VPC)只读访问权限。
QcloudCVMInnerReadOnlyAccess 云服务器(CVM)只读访问权限。
QcloudCLBReadOnlyAccess 负载均衡(CLB)只读访问权限。
QcloudKMSReadOnlyAccess 密钥管理系统(KMS)只读访问权限。
对于云产品类的权限,根据子账号所关联的云产品库类型进行关联策略:
QcloudMariaDBReadOnlyAccess 云数据库 MariaDB 只读访问权限。
QcloudTDSQLReadOnlyAccess TDSQL MySQL 版(TDSQL for MySQL)只读访问权限。
前提条件
相关服务角色授权需要使用“主账号”或“拥有访问管理读写权限的账号”完成。
说明
操作步骤
操作步骤
以添加 QcloudCASBFullAccess 权限为例进行说明:
1. 登录 访问管理控制台,在左侧导航中,单击策略,进入策略页面。
2. 在策略页面的搜索框中,输入策略名称,如“QcloudCASBFullAccess”进行搜索。
3. 在“QcloudCASBFullAccess”策略的右侧操作栏中,单击关联用户/组。
4. 在“关联用户/用户组”页面,选中需要配置权限的子用户,单击确定即可。
注意事项
在使用 CASB 产品中,对于子账号的权限需要进行严格限制时,需保证子账号具有如下权限:
cam:GetRolecam:ListAttachedRolePolicieskms:GetServiceStatuscvm:DescribeInstancesclb:DescribeLoadBalancerscdb:DescribeDBInstancescdb:DescribeRoGroupsmariadb:DescribeDBInstancesmariadb:DescribeDcnDetaildcdb:DescribeDCDBInstancesdcdb:DescribeDcnDetailpostgres:DescribeDBInstancescynosdb:DescribeInstancescynosdb:DescribeInstanceDetailcynosdb:DescribeClusterInstanceGrpscynosdb:DescribeClusterspostgres:DescribeReadOnlyGroupscos:GetService