API 文档

CAM 访问控制

最近更新时间:2021-09-26 09:53:28

云直播通过 CAM 访问控制进行权限管理,以便于您管理账户的云直播域名、配置和数据信息。您可以创建、管理或销毁用户(组),将不同的接口权限授予子用户(组),以实现身份管理和策略控制。

当您使用 CAM 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。

基本概念

  • 主账号:注册的腾讯云账号。
  • 子用户:通过主账号创建,完全归属于主账号。
  • 协作者:拥有主账号的身份,被添加为当前主账号的协作者,为当前主账号的子账号之一。
  • 用户组:为相同职能的一类用户创建的组,可为其关联策略,便于统一批量授权管理。

详细定义和权限请参见 CAM 用户

操作步骤

步骤1:新建子用户/用户组

主账号可以创建一个或多个子用户,以为其分配特定的角色和策略。子用户有确定的身份 ID 和身份凭证,可登录控制台并完成设置,同时具有 API 访问权限。登录腾讯云控制台,进入 访问管理 页面,可新建用户,如下图所示:

详细步骤请参见访问管理 子用户用户组

步骤2:为用户/用户组添加策略

用户/用户组管理和策略管理页均可完成策略添加和授权,详细请参见 授权管理,简述如下:

进入用户/用户组页面,选择需添加策略的用户/用户组。

  • 单击左侧的 用户>用户列表,选择需添加策略的用户/用户组,单击其右侧的 授权,选中相应的直播策略,单击 确定 即可添加成功。
  • 单击左侧的 用户>用户列表用户组,单击需添加策略的用户/用户组名称进入详情页。单击 关联策略,选中相应的直播策略,单击 确定 即可添加成功。

可添加的策略

  • 添加系统预设策略:通过左侧边栏进入策略页面,可查询当前所有的策略信息。

  • 添加自定义策略:进入策略页面,单击 新建自定义策略,选择 按策略生成器创建,详细请参见 自定义策略

    说明:

    目前云直播部分接口已支持资源级授权,具体接口可参见 API 鉴权规则

    操作示例:若需将 DescribeLiveDomains 查询域名列表 接口授权给子用户,且仅可用于指定域名,按照下述步骤配置:

    1. 新建允许访问此接口的域名级策略,进入策略生成器创建策略页面,填写各输入项:
      配置项是否必填说明
      效果选择 允许
      服务选择 云直播
      操作选择 DescribeLiveDomains 查询域名列表
      资源 选择全部资源或您要授权的特定资源
      • 授权粒度为操作级、服务级的云产品不支持填写具体资源六段式,选择全部资源即可
      • 授权粒度为资源级的云产品,可选择特定资源,资源描述方式请参见 支持 CAM 的产品 中对应产品的访问管理指南文档。云产品支持的授权粒度请参见 支持 CAM 的产品 中的授权粒度。
      条件 设置上述授权的生效条件,输入需授权的来源 IP,仅当请求来自指定 IP 地址范围内时才允许访问指定操作。还可添加其他条件对策略进一步约束,详细请参见 生效条件
      注意:

      若要支持多个服务的手段,可单击 添加权限,继续添加多个授权声明,对另外的服务进行授权策略配置。

    2. 单击 下一步 即可生成该策略。策略生成后,通过上述两种方法关联用户/用户组即可。

步骤3:子账号使用

使用子账号身份(主账号创建的子账号 ID 和密码),调用已授权的 API 接口(例如:“查询域名列表”等),可以获取相应的云直播信息(例如:该账号下的所有域名)。

目录