有奖捉虫:云通信与企业服务文档专题,速来> HOT
在您开始使用角色前需要了解一些基本术语,包括角色、服务角色、自定义角色、角色载体、权限策略等。更多术语介绍请参见 词汇表

角色

拥有一组权限的虚拟身份。用于对角色载体授予腾讯云中的服务、操作和资源访问权限。这些权限附加到角色,而不附加到具体的用户或者用户组。 CAM 支持以下 5 种类型的角色:
类型
自定义角色
腾讯云产品服务
腾讯云账号
身份提供商
腾讯云服务
服务角色
服务相关角色
定义
由用户自行定义的角色,用户可以自由灵活地决定角色载体和角色权限。
由腾讯云服务进行预定义的角色,服务角色需经过用户授权,服务即可通过扮演服务角色对用户资源进行访问操作。
载体
腾讯云账号
身份提供商
腾讯云服务
腾讯云服务
腾讯云服务
授权策略变更
支持
支持
支持
支持
不支持
支持删除
支持
支持
支持
支持
支持(角色有关联资源情况下不支持删除)

服务角色

服务角色是腾讯云各个产品服务直接提供的独特类型的 CAM 预设角色。服务角色的关联权限由相关产品服务预定义,一旦相关产品服务被您赋予服务角色,即该产品服务能够全权代表您调用服务角色权限范围内的其他腾讯云产品服务。服务角色可以让您更轻松地使用服务,因为在赋予角色的流程中您不必手动添加权限,只需要选择是否给该服务授予服务角色的相关权限。
给相关产品服务赋予服务角色的流程中,服务角色的相关权限和角色载体已经被定义,除非另外定义,否则仅该服务可以代入角色。服务角色的预定义包括角色名称、角色载体、权限策略。

服务相关角色

服务相关角色是一种与腾讯云服务直接关联的独特类型的服务角色。服务相关角色由服务预定义,具有服务代表您调用其他腾讯云服务所需的所有权限。服务相关角色还定义了创建、修改和删除服务相关角色的方式。服务可以自动创建或删除角色。它可能允许您在服务的向导或流程中创建、修改或删除角色。或者,它可能需要您使用腾讯云创建或删除角色。无论使用哪种方法,服务相关角色都可让您更轻松地设置服务,因为您不必手动添加服务代表您完成操作所需的权限。查询腾讯云产品服务是否支持使用服务角色请参见 支持角色的业务

基于资源的服务角色

CAM 角色可以关联到云资源中,在云资源内部基于腾讯云安全凭证服务 STS 临时密钥访问其他云产品的 API(临时密钥可周期性更新)。相比于直接用持久密钥进行权限控制,通过此方式可以进一步保证账号下的持久密钥安全,也可以基于角色关联策略实现更加精细化的控制和权限管理。更多相关信息请参见 基于资源的服务角色

自定义角色

自定义角色是用户自己对 CAM 角色进行定义。自定义角色的角色名称、角色载体以及角色权限均由用户决定。自定义角色可以让您更自由灵活地对您云上资源的访问使用权限进行分配。
被您授予角色的对象仅在使用角色的过程中能够获得相关权限,避免给予持久密钥可能带来的安全问题。

角色载体

角色载体是被允许承载角色权限的对象。您可以对角色进行角色载体编辑,添加或删除相应对象来允许或者拒绝其扮演角色来访问您的腾讯云资源。目前腾讯云支持的角色载体类型为:腾讯云账号和支持角色的腾讯云服务。查询腾讯云产品服务是否支持使用服务角色,请参见 支持 CAM 的产品

权限策略

JSON 格式的权限文档。您可以在权限策略中定义角色可使用的操作和资源。该文档规则依赖于 CAM 策略语言规则。

信任策略

JSON 格式的权限文档。您可以在信任策略中定义可扮演角色的对象以及扮演角色时需满足的条件。该文档规则依赖于 CAM 策略语言规则。
说明:
请谨慎授权子账号 AssumeRole 的权限,当子账号拥有未被限制 AssumeRole 权限时,可扮演所有角色(包含服务角色,服务相关角色),非常容易发生越权。