CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账号体系
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 TSE
子账号使用 TSE 时,需要对两方面进行授权:
1. 使用 TSE 的过程中,涉及到访问用户其他的云产品资源(VPC、TKE 等),如查看用户子网所在的可用区信息等场景。因此,需要授予子账号访问其他云产品的权限,详细操作参见 步骤1:授予子账号访问其他云产品的权限。
2. 子账号使用 TSE 还需要获得读写权限,详细操作参见 步骤2:授予子账号使用 TSE 的权限。
说明
步骤1:授予子账号访问其他云产品的权限
新建自定义访问其他云产品策略
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏选择策略,单击新建自定义策略。
3. 在选择创建策略方式的弹出框中,选择按策略语法创建,进入按策略语法创建页。
4. 在 按策略语法创建页 中,选择空白模板,并单击下一步。
5. 您可参照下方调用接口表格和策略语法,根据实际需要,授予子账号合适的其他云产品调用权限,生成自定义策略,填写所有信息后单击完成。
TSE 平台使用中涉及到以下云产品的调用,主账号需要对子账号进行单独授权才能保证对应 TSE 产品功能的使用。自定义策略中 TSE 中涉及到的对云产品的调用如下:[](id:msg)
云产品 | 接口名 | 接口作用 | 影响到 TSE 平台的操作 |
云服务器(CVM) | DescribeZones | 查询可用区 | 创建实例时查看子网所在可用区 |
私有网络(VPC) | DescribeVpcs | 查询 VPC 列表 | 创建实例时选择实例访问地址所属 VPC |
私有网络(VPC) | DescribeSubnets | 查询 VPC 列表 | 创建实例时选择实例访问地址所属子网 |
云监控(Monitor) | GetMonitorData | 拉取指标监控数据 | 查看 TSE 中监控数据 |
云监控(Monitor) | DescribeDashboardMetricData | 拉取指标监控数据 | 查看 TSE 中监控数据 |
容器服务(TKE) | DescribeClusters | 拉取集群信息 | TSE 北极星网格绑定 K8S 集群 |
容器服务(TKE) | DescribeClusterSecurity | 拉取集群密钥信息 | TSE 北极星网格绑定 K8S 集群 |
策略语法示例如下:
{"version": "2.0","statement": [{"effect": "allow","action": ["vpc:DescribeVpcEx","vpc:DescribeSubnetEx","monitor:GetMonitorData","monitor:DescribeDashboardMetricData","tke:DescribeClusters","tke:DescribeClusterSecurity"],"resource": ["*"]}]}
将自定义策略关联到子账户
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 在右侧单击自定义策略进行筛选,找到 步骤1 中创建好的自定义策略,单击操作列的关联用户/组/角色。
4. 选择需要授予该权限的子账号,单击确定即可完成授权。
5. 单击确定完成授权。该策略会显示在用户的策略列表中。
步骤2:授予子账号使用 TSE 权限
相关操作可参见以下文档:
操作级授权。
资源级授权。
标签级授权。