用户指南

支持CAM的业务接口

商用案例

API 文档

有奖征文|投稿上云技术实践,赢取价值5000元大奖> HOT

预设策略为何出现新的策略版本?

预设策略由腾讯云创建和管理,是被用户高频使用的一些常见权限集合。

预设策略与云服务的功能关系密切,若云服务做了功能升级或调整,腾讯云可能配合云服务对预设策略进行升级或调整,此时会新增一个策略版本,以保证覆盖新的功能权限。
可能会被调整的预设策略,将会包括一般的预设策略以及与服务角色关联的预设策略。

如何授予子账号某些产品的某些操作权限?

您可以通过 策略生成器创建 创建一条自定义策略,勾选您需要的产品及操作。通过 策略关联用户 即可。关联成功后,您的子账号将在您设置的权限范围内管理主账号下的资源。

为什么创建策略时提示不在白名单内?

目前有不少产品是灰度期间,个别产品暂不支持 CAM 管理。您可以查看 支持 CAM 的产品 来确定是否能够在 CAM 里以及何种粒度对产品服务权限进行管理。

如需要对处于灰度期的产品使用 CAM 进行管理,请通过 提交工单 进行操作。

为什么给子账号授权了云产品只读策略(ReadOnlyAccess)却依然存在部分云产品无访问权限?

  • 云产品只读策略(ReadOnlyAccess)仅包含授权粒度为操作级或资源级云产品的读接口,如果您访问服务级云产品或操作级/资源级云产品的写接口就会出现无权限提示。云产品的授权粒度请参阅 支持 CAM 的产品
  • 请检查子账号的自定义策略(用户权限策略、加入用户组的权限策略)是否对只读策略(ReadOnlyAccess)设置了 "effect": "deny",具体请参考 权限策略 deny 不生效场景

子账号有哪些权限?

子账号的权限取决于您为其绑定的策略,具体可以参考 权限与策略 文档。

子账号购买云产品需要什么权限?

  • 如需购买按量付费的云产品,一般只需给子账号分配该云产品的创建实例或创建资源的权限即可。
  • 如需购买包年包月的云产品,需要额外授予子账号支付订单的权限,即 QCloudResourceFullAccess(预设策略,该策略允许您管理账户内所有云服务资产)的权限策略。
  • 某些云产品在购买时需要使用或创建其他多种资源,这种情况下需要子账号具备相应资源的读取或创建权限。

如何为子账号设置支付权限?

  1. 使用主账号登录访问管理控制台,在用户 > 用户列表 中,选择对应子账号,单击操作列的授权
  2. 在弹出的关联策略窗口中选择 QCloudResourceFullAccess(预设策略,该策略允许您管理账户内所有云服务资产),单击确定即可完成对子账号的支付授权。

如何设置子账号查看账单的权限?

子账号暂无单独查看账单权限,若您需要可为该用户分配 QCloudFinanceFullAccess(该策略允许您管理账户内财务相关的内容,例如:付款、开票),详情请参考 授权管理

可以单独建立只能使用工单功能的帐号吗?

可以的,创建子账号时不要授予任何权限就可以。

说明:

子账号提交的工单主账号是看不到的,只能登录该子账号才能看到。

是否可以设置所有产品只读权限?

可以,授予 ReadOnlyAccess 策略即可。

如何授予子账号查看有限的资源列表权限?

以下示例介绍如何授予子账号查看有限的资源列表权限。详细信息:

企业账号 CompanyExample(ownerUin 为 12345678)下有一个子账号 Developer,要求该子账号在控制台仅能查看企业账号 CompanyExample 的部分资源。

以 CVM 云服务器实例为例,授予子账号仅能在控制台查看 gz 地域 ID 为 ins-xxx1 和 ins-xxx2 的云服务器实例:

  1. 通过策略语法方式创建以下策略:

    {
    "version": "2.0",
    "statement": [
    {
    "action": [
        "cvm:DescribeInstances"
    ],
    "resource": ["qcs::cvm:gz::instance/ins-xxx1",
        "qcs::cvm:gz::instance/ins-xxx2"
    ],
    "effect": "allow"
    }
      ]
    }
    也可以根据需要设置更高的权限,如全读写权限。若需要拥有广州地域所有云服务器实例的全读写权限,可以将策略语法写成如下形式:
    {
      "version": "2.0",
      "statement": [
          {
              "action": [
                  "cvm:*"
                  ],
              "resource": "qcs::cvm:gz::*",
              "effect": "allow"
          }
      ]
    }

  2. 将该策略授权给子账号。授权方式请参考 授权管理
    目前,支持只读操作这种资源粒度权限控制的产品有:云服务器 CVM,云数据库 TencentDB for MySQL,容器服务 TKE。
    对于其他产品,暂不支持对具体资源授权只读权限,只能授予子账号查看所有资源的权限,或无法查看所有资源。

权限策略中的拒绝(deny)授权语句为何不生效?

当权限策略中同时包含允许(allow)和拒绝(deny)的授权语句时,需要根据具体的场景判断 deny 是否生效,具体请参考 权限策略 deny 不生效场景

如何限制 APPID 服务访问权限?

目前访问管理的策略中,只有对象存储 COS 和归档存储 CAS 业务的资源拥有者能用 UID 方式(即 APPID )描述,其他业务的资源拥有者只能用 UIN 方式描述。具体使用方式请您参考 资源描述方式
COS 的授权您可以参考 授权子账号对特定目录的所有权限

是否支持限制 IP 访问?

支持。您可以通过通过自定义策略限制子账号访问 IP,具体操作请参考 限制 IP 访问

无法找到特定服务的权限怎么办?

可能原因 解决方法
需要设置权限的服务未接入 CAM 参考 支持 CAM 的业务接口,查看该服务是否已接入 CAM。
搜索的服务或权限名称不正确 根据 支持 CAM 的业务接口 中的产品名,在 CAM 控制台 > 策略 页面搜索产品对应的策略权限。

如仍然无法解决您的问题,请 提交工单 联系我们。

目录