通过控制台设置权限

最近更新时间:2019-09-10 20:35:42

操作场景

本文以指定某用户拥有 CMQ 队列模型的 消费消息及批量消费消息写权限 为例,演示如何设置 CMQ 权限。

权限说明

CAM 上线前,原子账号(子用户、协作者)均可以登录 CMQ 控制台,并看到根账户的资源列表(即 list 接口权限,原先用的是根账户密钥)。接入 CAM 后,子账户默认是没有获取根账户资源列表权限的(登录控制台用的是子账户的密钥),需要根账户通过 CAM 授权,才有访问权限。

控制台会调用 CMQ API 接口,因此子账号需要在控制台查看队列、主题、订阅信息时需要对控制台调用的 CMQ API 接口授予权限,否则子账号查看控制台会报没有权限的错误。不同的控制台界面所需要授权的接口如下:

  • 控制台查看队列列表: 授权 ListQueue 接口
  • 控制台查看主题列表: 授权 ListTopic 接口
  • 控制台查看订阅列表: 授权 ListSubscriptionByTopic 接口

子账号也需要控制台访问 CMQ。需要授予对应的接口权限,子账号通过控制台查看监控数据需要对云监控接口进行 CAM 授权

操作步骤

创建子用户

  1. 登录【访问管理控制台】>【用户列表】,单击左上角的【新建用户】。
  2. 在新建用户页面,选择用户类型,并填写用户信息。
    如果该用户需要登录腾讯云控制台或者调用云 API,则需要选择勾选【腾讯云控制台访问】、并填写QQ帐号作为登录凭证。
    具体账号说明请参考 用户类型
    说明:

    子账户的 QQ 号,建议使用未在腾讯云注册的 QQ 号(子账户无需充值费用,CMQ 费用会在主账户扣除)。

  3. 为该用户关联策略(策略描述了权限,关联策略后用户即获得策略描述的权限),具体操作请参考 策略 文档。
  4. 在【用户管理】列表中,即可查看刚刚添加的子用户。

新建自定义策略

您可以创建某自定义策略指定开启具体 API 接口的权限,如指定 CMQ Queue 的写权限(消费消息、批量消费消息)。
具体操作方法可参考 策略 文档。

说明:

CMQ 的 list 接口权限默认全部开放(即登录 CMQ 的控制台,可以在控制台看到具体的资源列表),具体查看的资源内容可以通过权限控制。

子用户登录

使用子账户登录后,若找不到对应的资源,请在控制台右上角,单击切换协作者开发商帐号。