CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账号体系
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 RocketMQ
为了保证子账号能够顺利使用 RocketMQ,主账号需要对子账户进行授权。
RocketMQ 为子账号提供了两种预设策略:QcloudTDMQReadOnlyAccess 和 QcloudTDMQFullAccess,前者仅能查看控制台的相关信息,后者可以在产品控制台进行读写等相关操作。
除了以上的预设策略外,为了方便使用,主账号还需要根据实际需要,授予子账号合适的其他云产品调用权限。RocketMQ 使用中涉及到以下云产品的相应接口权限:
云产品 | 接口名 | 接口作用 | 对应在 RocketMQ 中的作用 |
腾讯云可观测平台(Monitor) | GetMonitorData | 查询指标监控数据 | 查看控制台展示的相应监控指标 |
腾讯云可观测平台(Monitor) | DescribeDashboardMetricData | 查询指标监控数据 | 查看控制台展示的相应监控指标 |
资源标签(Tags) | DescribeResourceTagsByResourceIds | 查询资源标签 | 查看集群的资源标签 |
{"version": "2.0","statement": [{"effect": "allow","action": ["monitor:GetMonitorData","monitor:DescribeDashboardMetricData","tag:DescribeResourceTagsByResourceIds"],"resource": ["*"]}]}
创建完成策略后,在操作列,将创建好的策略关联给子账号即可,如下图所示:
相关文档
为子账号授权的相关操作可参见以下文档:
操作级授权。
资源级授权。
标签级授权。
