预设策略为何出现新的策略版本?
预设策略由腾讯云创建和管理,是被用户高频使用的一些常见权限集合。
预设策略与云服务的功能关系密切,若云服务做了功能升级或调整,腾讯云可能配合云服务对预设策略进行升级或调整,此时会新增一个策略版本,以保证覆盖新的功能权限。
可能会被调整的预设策略,将会包括一般的预设策略以及与服务角色关联的预设策略。
如何授予子账号某些产品的某些操作权限?
为什么创建策略时提示不在白名单内?
为什么给子账号授权了云产品只读策略(ReadOnlyAccess)却依然存在部分云产品无访问权限?
云产品只读策略(ReadOnlyAccess)仅包含授权粒度为操作级或资源级云产品的读接口,如果您访问服务级云产品或操作级/资源级云产品的写接口就会出现无权限提示。云产品的授权粒度请参见 支持 CAM 的产品。
请检查子账号的自定义策略(用户权限策略、加入用户组的权限策略)是否对只读策略(ReadOnlyAccess)设置了
"effect": "deny",具体请参见 权限策略 deny 不生效场景。子账号有哪些权限?
子账号购买云产品需要什么权限?
如需购买按量付费的云产品,一般只需给子账号分配该云产品的创建实例或创建资源的权限即可。
如需购买包年包月的云产品,需要额外授予子账号支付订单的权限,即授予 QCloudFinanceFullAccess(预设策略,该策略允许您管理账户内财务相关的内容,例如付款,开票)及各个云产品创建实例或创建资源的权限。
某些云产品在购买时需要使用或创建其他多种资源,这种情况下需要子账号具备相应资源的读取或创建权限。
如何为子账号设置支付权限?
1. 使用主账号登录访问管理控制台,在用户 > 用户列表 中,选择对应子账号,单击操作列的授权。
2. 在弹出的关联策略窗口中选择 QCloudFinanceFullAccess(预设策略,该策略允许您管理账户内财务相关的内容,例如付款,开票),单击确定即可完成对子账号的支付授权。
如何设置子账号查看账单的权限?
可以单独建立只能使用工单功能的账号吗?
可以的,创建子账号时不要授予任何权限就可以。
说明
子账号提交的工单主账号是看不到的,只能登录该子账号才能看到。
是否可以设置所有产品只读权限?
可以,授予 ReadOnlyAccess 策略即可。
如何授予子账号查看有限的资源列表权限?
以下示例介绍如何授予子账号查看有限的资源列表权限。详细信息:
企业账号 CompanyExample(ownerUin 为 12345678)下有一个子账号 Developer,要求该子账号在控制台仅能查看企业账号 CompanyExample 的部分资源。
以 CVM 云服务器实例为例,授予子账号仅能在控制台查看 gz 地域 ID 为 ins-xxx1 和 ins-xxx2 的云服务器实例:
1. 通过策略语法方式创建以下策略:
{"version": "2.0","statement": [{"action": ["cvm:DescribeInstances"],"resource": ["qcs::cvm:gz::instance/ins-xxx1","qcs::cvm:gz::instance/ins-xxx2"],"effect": "allow"}]}
也可以根据需要设置更高的权限,如全读写权限。若需要拥有广州地域所有云服务器实例的全读写权限,可以将策略语法写成如下形式:
{"version": "2.0","statement": [{"action": ["cvm:*"],"resource": "qcs::cvm:gz::*","effect": "allow"}]}
2. 将该策略授权给子账号。授权方式请参见 授权管理。
目前,支持只读操作这种资源粒度权限控制的产品有:云服务器 CVM,云数据库 TencentDB for MySQL,容器服务 TKE。
对于其他产品,暂不支持对具体资源授权只读权限,只能授予子账号查看所有资源的权限,或无法查看所有资源。
权限策略中的拒绝(deny)授权语句为何不生效?
如何限制 APPID 服务访问权限?
目前访问管理的策略中,只有对象存储 COS 和归档存储 CAS 业务的资源拥有者能用 UID 方式(即 APPID )描述,其他业务的资源拥有者只能用 UIN 方式描述。具体使用方式请参见 资源描述方式。
COS 的授权请参见 授权子账号对特定目录的所有权限。
是否支持限制 IP 访问?
无法找到特定服务的权限怎么办?
可能原因 | 解决方法 |
需要设置权限的服务未接入 CAM | |
搜索的服务或权限名称不正确 |