腾讯云账号(主账号)和子账号进行权限分割,按需为子账号赋予不同的权限,可以避免因暴露腾讯云账号密钥而造成的安全风险。
给子账号授权权限策略
背景信息
企业 A 开通了腾讯云数据库 MongoDB 服务,需要自己的团队成员操作云数据库 MongoDB 服务所涉及的云上资源。出于安全或信任的考虑,企业 A 不希望将云账号密钥直接透露给团队成员,而希望能给团队成员创建相应的子账号。而子账号只能在主账号授权的前提下操作云上资源,且不需要对子账号进行独立的计量计费,所有开销都计入企业腾讯云账号下,随时也可以撤销或者删除子账号的操作权限。
操作步骤
步骤1:创建子账号用户
您可以通过控制台或者 API 接口进行创建。
通过访问密钥调用 AddUser 接口添加子用户并设定权限。具体信息,请参见 添加子用户。
(可选)步骤2:创建自定义权限策略
1. 在访问管理(CAM)控制台的 策略 页面,在右上角搜索框根据策略名称搜索策略。
2. 如果策略不存在,您需要自定义权限策略。具体操作,请参见 创建自定义策略。
步骤3:给子账号用户授予权限策略
更多参考
登录控制台
修改子账号用户信息
删除子账号
跨云账号授权权限策略
背景信息
企业 A 开通了云数据库 MongoDB 的服务,希望企业 B 拥有其云数据库 MongoDB 的部分业务权限,例如,腾讯云可观测平台、实例的读写权限、慢查询操作等。而企业 B 希望有一个子账号负责这部分业务。企业 A 可以授权企业 B 的主账号通过角色访问云数据库 MongoDB 的资源。角色的具体概念以及应用场景,请参见 角色概述。
操作步骤
步骤1:企业 A 为企业 B 创建角色
1. 登录腾讯云访问管理(CAM)控制台,进入 角色 页面。
2. 单击新建角色,在选择角色载体对话框中,选择腾讯云账户。
3. 在新建自定义角色配置向导页面,创建角色。
a. 在输入角色载体信息页面,选择云账号类型为其他主账号,在账号ID输入企业B的主账号,其他参数可根据提示设置,单击下一步。
b. 在配置角色策略页面,选择需要授权该角色的策略,单击下一步。
c. 在审阅页面的角色名称输入框,设置角色名称,例如 DevOpsRole。并审阅所选择的策略,单击完成。
步骤2:企业B为子账号赋予扮演角色的权限
1. 在访问管理(CAM)控制台的 策略 页面,单击新建自定义策略。
2. 在选择创建策略方式对话框,选择按策略语法创建。
3. 在按策略语法创建的配置向导中,创建策略。
a. 在选择模板类型区域,选择空白模板,单击下一步。
b. 在编辑策略页面,在策略名称输入框设置策略的名称。例如 sts:AssumeRole。
c. 在策略内容中,根据策略语法设置策略内容,单击完成。示例如下:
{"version": "2.0","statement": [{"effect": "allow","action": ["name/sts:AssumeRole"],"resource": ["qcs::cam::uin/12345:RoleName/DevOpsRole"]}]}
4. 返回 策略 页面,找到创建的自定义策略,单击操作列的关联用户/组。
5. 给自定义策略关联企业B的子账户,单击确定。
步骤3:企业 B 使用子账号通过角色访问云资源
1. 通过公司 B 的子账号登录控制台,在控制台头像下拉菜单中,选择切换角色。
2. 在切换角色页面,输入公司 A 的主账号,以及角色名称。即可切换为公司 A 的角色身份。
更多参考
如果您需要对角色进行修改,请参见 修改角色。
如果您需要删除角色,请参见 删除角色。
更多访问管理(CAM)的使用操作,请参见 用户指南。