混沌演练平台
用户之声——提建议·赢好礼> HOT
文档中心 > 混沌演练平台 > 权限管理指南 > 子用户与授权

子用户与授权

最近更新时间:2022-01-06 11:05:30

我的收藏

本页目录:

注意
主账户需要在 角色 页面查看是否具有 QcloudAccessForCFGLinkedRoleInChaos,如果没有,请按照 服务授权与角色权限 中的预设策略操作完成授权,否则子用户无法正常使用 CFG 控制台和通过 CFG 调用其他云上资源。

创建子用户并授予 CFG 的所有操作权限

步骤1:使用主账号创建子用户

1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表
2. 在“用户列表”页面,选择新建用户 > 自定义创建,进入“新建子用户”页面。
3. 在“选择类型”步骤中,选择可访问资源并接收消息后单击下一步
4. 在“填写用户信息”步骤中,您可批量创建子用户,设置访问方式和设置控制台密码等,请按需进行设置后单击下一步
5. 在“设置用户权限”页面,按需选择不同的方式为当前新建的子用户设定权限,单击下一步保存设定,后续您可以更改相关权限设定。权限的三种设置方式:
将子用户添加到现有用户组或新建用户组。
复制现有用户权限。
从策略列表中授权。
6. 在“审阅信息和权限”页面,确认信息无误之后单击完成,完成自定义创建子用户操作。
说明
相关文档请参见 创建子用户

步骤2:创建自定义策略

1. 登录 访问管理控制台,选择左侧导航栏中的策略
2. 在“策略”管理页面,选择新建自定义策略 > 按策略语法创建,进入创建页面。
3. 模板类型选择 CFG,并选择 QcloudCFGFullAccess,单击下一步


4. 参考以下的授权语法,实现的效果是允许子账号操作 CFG 的全部功能和允许使用 CFG 角色操作相应资源。具体可以参考 CFG 角色说明
{
 "version": "2.0",
 "statement": [
     {
         "action": "cfg:*",
         "resource": "*",
         "effect": "allow"
     },
     {
         "effect": "allow",
         "action": "cam:PassRole",
         "resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"
     }
 ]
}

步骤3:把策略关联到用户/用户组

1. 在“策略”管理页面,单击新建策略右侧的关联用户/组,弹出关联提示框。
2. 选择需要关联的用户,单击确定完成关联操作。您还可以切换用户或用户组,进行选择。

步骤4:为子用户添加 CAM 只读权限

1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表
2. 在“用户列表”页面,选择需要设置权限的子用户,进入用户详情页面。
3. 在“用户详情”页面,单击关联策略,进入添加策略页面。
4. 在“设置用户权限”步骤中,选择从策略列表中选取策略关联,勾选 QcloudCamReadOnlyAccess,单击下一步
5. 在“审阅用户权限”步骤中,单击确定,完成子用户“用户与权限(CAM)只读访问权限”的授权。完成上述操作后,CFG 才能通过子用户获取到主账户已有的权限,完成鉴权流程。

步骤5:为子用户授权 CAM

以上设置完成后,用户可以登录子账号查看权限。 登录 访问管理控制台,选择左侧的导航栏中的 概览 进入概览页面,即可查看子用户登录地址。

创建子用户并授予 CFG 的部分操作权限

步骤1:使用主账号创建子用户

1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表
2. 在“用户列表”页面,选择新建用户 > 自定义创建,进入“新建子用户”页面。
3. 在“选择类型”步骤中,选择可访问资源并接收消息后,单击下一步
4. 在“填写用户信息”步骤中,您可批量创建子用户,设置访问方式和设置控制台密码等,请按需进行设置后单击下一步
5. 在“设置用户权限”页面,按需选择不同的方式为当前新建的子用户设定权限,单击下一步保存设定,后续您可以更改相关权限设定。权限的三种设置方式:
将子用户添加到现有用户组或新建用户组。
复制现有用户权限。
从策略列表中授权。
6. 在“审阅信息和权限”页面,确认信息无误之后单击完成,完成自定义创建子用户操作。
说明
相关文档请参见 创建子用户

步骤2:创建自定义策略

1. 登录 访问管理控制台,选择左侧导航栏中的 策略
2. 在“策略”管理页面,选择新建自定义策略 > 按策略语法创建,进入创建页面。
3. 模板类型选择 CFG,并选择 QcloudCFGFullAccess,单击下一步


4. 参考以下的授权语法,实现的效果是允许子账号操作 CFG 的全部功能和允许使用 CFG 角色操作相应资源。具体可以参考 CFG 角色说明
{
 "version": "2.0",
 "statement": [
     {
         "action": "cfg:*",
         "resource": "*",
         "effect": "allow"
     },
     {
         "effect": "allow",
         "action": "cam:PassRole",
         "resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"
     }
 ]
}
注意
resource 中的资源描述,需要替换成主账号的 ID。

步骤3:把策略关联到用户/用户组

1. 在“策略”管理页面,单击新建策略右侧的关联用户/组,弹出关联提示框。
2. 选择需要关联的用户,单击确定完成关联操作。您还可以切换用户或用户组,进行选择。

步骤4:为子用户添加 CAM 只读权限

1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表
2. 在“用户列表”页面,选择需要设置权限的子用户,进入用户详情页面。
3. 在“用户详情”页面,单击关联策略,进入添加策略页面。
4. 在“设置用户权限”步骤中,选择从策略列表中选取策略关联,勾选 QcloudCamReadOnlyAccess,单击下一步
5. 在“审阅用户权限”步骤中,单击确定,完成子用户“用户与权限(CAM)只读访问权限”的授权。完成上述操作后, CFG 才能通过子用户获取到主账户已有的权限,完成鉴权流程。

步骤5:完成

以上设置完成后,用户可以登录子账号查看权限。在左侧的导航栏中单击 概览 进入概览页面,可以查看子用户登录地址。
说明
策略生效后,当前子账号可以看到所有的函数名,但是只能对 resource 中的函数进行操作和查看。

示例

说明
以下示例仅为展示 CAM 用法,一个 CFG 混沌演练任务完成流程。在使用时,请将 OwnerUin 替换成主账号的 UIN。
{
    "version": "2.0",
    "statement": [
        {
            "action": "cfg:*",
            "resource": "*",
            "effect": "allow"
        },
        {
            "effect": "allow",
            "action": "cam:PassRole",
            "resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"
        },
        {
            "action": [
                "tag:DescribeTagKeys",
                "tag:DescribeTagValues",
                "tag:DescribeResourceTagsByResourceIds",
                "tag:AttachResourcesTag",
                "tag:ModifyResourcesTagValue",
                "tag:DetachResourcesTag"
            ],
            "resource": "*",
            "effect": "allow"
        },
        {
            "action": [
                "monitor:DescribeAlarmPolicies"
            ],
            "resource": "*",
            "effect": "allow"
        }
    ]
}
中国站