概述

最近更新时间:2019-05-14 17:55:42

什么是访问管理?

访问管理(Cloud Access Management,CAM)是腾讯云提供的Web服务,主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。用户可以通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限。

当您使用 CAM 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。有关 CAM 策略的更多相关基本信息,请参照 策略语法。有关 CAM 策略的更多相关使用信息,请参照 策略

黑石物理服务器、黑石弹性公网 IP、黑石私有网络,黑石负载均衡都已经接入 CAM,您可以使用 CAM 对相关黑石资源实现精细化的权限控制需求。

相关概念

  • CAM用户:CAM 用户 为您在腾讯云中创建的一个实体,每一个 CAM 用户仅同一个腾讯云账户关联。您注册的腾讯云账号身份为主账号,您可以通过 用户管理 来创建拥有不同权限的子账号协作您。子账号的类型分为 子用户协作者 以及 消息接收人
  • 策略:用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略。
    • 预设策略:预设策略 由腾讯云创建和管理,是被用户高频使用的一些常见权限集合,如资源全读写权限等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可被用户编辑。
    • 自定义策略:由用户创建的策略,允许作细粒度的权限划分。例如,为某数据库管理员关联一条策略,使其有权管理云数据库实例,而无权管理云服务器实例。
  • 资源:resource 元素,描述一个或多个操作对象。例如黑石服务器、黑石负载均衡等实例。

黑石相关预设策略

预设策略,不需要编写策略,即可帮助您快速授权,但其缺点是授权的精度略为粗糙。以下是黑石产品的所有预设策略,分别为:

预设策略名 授权范围描述
QcloudBMFullAccess 关联后,获得所有黑石所有产品(cpm,bmeip,bmlb,bmvpc 等)实例的增、删、改、查操作等操作权限
QcloudBMReadOnlyAccess 关联后,只能获得查询黑石所有产品(cpm,bmeip,bmlb,bmvpc 等)列表及基本信息的权限
QcloudBMInnerFullAccess 关联后,获得所有黑石服务器实例的增、删、改、查等操作的权限
QcloudBMInnerReadOnlyAccess 关联后,只能获得查询黑石服务器列表及基本信息的权限
QcloudBMEIPFullAccess 关联后,获得所有黑石弹性公网 IP 实例的增、删、改、查等操作的权限
QcloudBMEIPReadOnlyAccess 关联后,只能获得查询黑石弹性公网 IP 列表及基本信息的权限
QcloudBMLBFullAccess 关联后,获得所有黑石负载均衡实例的增、删、改、查等操作的权限
QcloudBMLBReadOnlyAccess 关联后,只能获得查询黑石负载均衡列表及基本信息的权限
QcloudBMVPCFullAccess 关联后,获得所有黑石私有网络实例的增、删、改、查操作的权限
QcloudBMVPCReadOnlyAccess 关联后,只能获得查询黑石私有网络实例列表及基本信息的权限

鉴权失败处理

当您在使用腾讯云控制台或者 API 遇到以下提示,说明您没有被授予操作权限。请联系 root 帐号管理员或者有 CAM 管理权限的人员为您的 CAM 账号关联相应策略。调用任一黑石 API 都要求通过 CAM 鉴权,您需要把用到的 API 和实例 ID 都添加到策略中,否则该提示会频繁出现。
img

img

授权方法如下:

  • 复制提示中的 operation 以及 resource,并黏贴到策略的 action 和 resource 字段,再关联这个策略即可完成授权。
  • 使用预设策略,但预设策略的授权的粒度较粗。

更多访问控制相关的说明,请参考访问管理相关官方文档。