操作指南

云产品指标

API 文档

访问管理

最近更新时间:2021-07-30 11:33:01

云监控支持通过 访问管理 CAM 实现主账号对子账号的权限控制,您可以参考本文档管理子账号访问权限。

功能介绍

默认情况下,主账号是资源的拥有者,拥有其名下所有资源的访问权限;子账号没有任何资源的访问权限;需要主账号进行授予子账号访问权限,子账号才能正常访问相关资源。您可以使用主账号登录 访问管理控制台 给子账号授予访问权限,详情请参考 授权管理 文档。

云监控策略依赖于其它云产品策略,因此给子账号授予云监控权限时,需同时授予对应云产品权限,云监控的权限才能生效。

说明:

  • 权限:描述在某些条件下允许或拒绝执行某些操作访问某些资源。
  • 策略:用于定义和描述一条或多条权限的语法规范。

常见权限配置

说明:

常见权限配置以产品类型—云服务器为例,其它云产品可参考下列场景介绍和 云监控相关的云产品策略 开通对应云产品权限。

常见权限说明

权限介绍表

权限类型 权限名称
云监控权限 QcloudMonitorFullAccess 和 QcloudMonitorReadOnlyAccess
云服务器权限 QcloudCVMReadOnlyAccess 或 QcloudCVMFullAccess

功能对照表

功能名称 操作权限 访问权限
QcloudMonitor
FullAccess
QcloudMonitor
ReadOnlyAccess
QcloudMonitor
FullAccess
QcloudMonitor
ReadOnlyAccess
监控概览
Dashboard
实例分组
告警历史
告警策略 ×
平台事件订阅
自定义消息
触发条件模板
产品事件
平台事件
流量监控
云产品监控

常见授权异常说明

异常一

  • 控制台报错:单击云监控所有功能页面均显示 “操作未授权,请检查 CAM 策略”,如下所示:
  • 解决措施:在 访问管理 控制台授予对应子账号 QcloudMonitorFullAccess 或 QcloudMonitorReadOnlyAccess 权限。

异常二

  • 控制台报错:操作告警策略、Dashboard 等需访问云服务器实例的功能时,提示 CVM 类型授权失败,如下所示:
  • 解决措施:在 访问管理 控制台授予对应子账号 QcloudCVMFullAccess 或 QcloudCVMReadOnlyAccess 权限。

异常三

  • 控制台报错:
  • 创建告警策略时,所属项目下框提示 “没有项目权限,无法创建该策略”,如下所示:
  • 创建告警接收组时,提示 CAM 类型授权失败,如下所示:
  • 解决措施:在 访问管理 控制台授予对应子账号 QcloudMonitorFullAccess 权限。

云监控相关的云产品策略

说明:

在确保云监控权限正常授权情况下,开通只读权限即可在正常访问云产品资源。下表仅展示部分云产品权限,如需了解其他云产品权限可查看 支持 CAM 的产品

产品名称 策略名称 权限描述 可参考文档
云服务器 CVM QcloudCVMFullAccess 云服务器 CVM 全读写访问权限,包括 CVM 及相关 CLB、VPC 监控权限 访问管理
QcloudCVMReadOnlyAccess 云服务器 CVM 相关资源只读访问权限
云数据库 MySQL QcloudCDBFullAccess 云数据库 MySQL 全读写访问权限,包括 MySQL 及相关安全组、监控、用户组、COS、VPC、KMS 权限 访问管理
QcloudCDBReadOnlyAccess 云数据库 MySQL 相关资源只读访问权限
云数据库 MongoDB QcloudMongoDBFullAccess 云数据库 MongoDB 全读写访问权限 访问管理
QcloudMongoDBReadOnlyAccess 云数据库 MongoDB 只读访问权限
云数据库 Redis QcloudRedisFullAccess 云数据库 Redis 全读写访问权限 访问管理
QcloudRedisReadOnlyAccess 云数据库 Redis 只读访问权限
游戏数据库 TcaplusDB QcloudTcaplusDBFullAccess 游戏数据库 TcaplusDB 全读写访问权限 访问管理
QcloudTcaplusDBReadOnlyAccess 游戏数据库 TcaplusDB 只读访问权限
云数据库 Memcached QcloudMemcachedFullAccess 云数据库 memcached 全读写访问权限 访问管理
QcloudMemcachedReadOnlyAccess 云数据库 memcached 只读访问权限
分布式HTAP数据库 TBase QcloudTBaseFullAccess 分布式HTAP数据库 TBase 全读写访问权限 访问管理
QcloudTBaseReadOnlyAccess 分布式HTAP数据库 TBase 只读访问权限
Elasticsearch Service QcloudElasticsearchServiceFullAccess ElasticsearchService 全读写访问权限 访问管理
QcloudElasticsearchServiceReadOnlyAccess ElasticsearchService 只读访问权限
私有网络 VPC QcloudVPCFullAccess 私有网络 VPC 全读写访问权限 访问管理
QcloudVPCReadOnlyAccess 私有网络 VPC 只读访问权限
专线接入 DC QcloudDCFullAccess 专线接入 DC 全读写访问权限 -
消息服务 CMQ QcloudCmqQueueFullAccess 队列模型 CmqQueue 全读写访问权限,包含 Queue 及云监控权限 -
消息服务 CKafka QcloudCKafkaFullAccess 消息服务 CKafka 全读写访问权限 访问管理
QcloudCkafkaReadOnlyAccess 消息服务 Ckafka 只读访问策略
对象存储 COS QcloudCOSFullAccess 对象存储 COS 全读写访问权限 访问管理
QcloudCOSReadOnlyAccess 对象存储 COS 只读访问权限
负载均衡 CLB QcloudCLBFullAccess 负载均衡 CLB 全读写访问权限 访问管理
QcloudCLBReadOnlyAccess 负载均衡 CLB 只读访问权限
文件存储 CFS QcloudCFSFullAccesss 文件存储 CFS 全读写访问权限 访问管理
QcloudCFSReadOnlyAccess 文件存储 CFS 只读访问权限
流计算 Oceanus QcloudOceanusFullAccess 流计算 Oceanus 全读写访问权限 访问管理

云产品等基础资源监控与自定义监控的子账号权限独立。

  • 若子账号需要在云产品等基础资源监控下查看用户组权限,需主账号登录 访问管理控制台 授权子账号 "QcloudMonitorFullAccess" 权限(若仅开通此权限,云服务资源监控和自定义监控的告警接收对象不同步)。
  • 若子账号需要在自定义监控下查看用户组权限,需要主账号在 访问管理模块 授权子账号 "QcloudCamReadOnlyAccess" 权限。
目录