概述
欢迎使用访问管理(Cloud Access Management,CAM)
访问管理(CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用 CAM 创建子用户、用户组和角色,并通过策略对权限进行控制。CAM 支持用户和角色 SSO 登录,您可以根据具体业务场景将其对接到内部统一认证系统,实现企业级的身份集中化管理和访问控制。
您最初创建的腾讯云主账号,拥有整个账号腾讯云的服务和资源的完全访问权限,建议您保护好主账号的凭证信息,日常使用子用户或角色进行访问,并开启多因素校验和定时轮转密钥。具体请参考 访问管理产品文档。
用户可以使用以下文档对 API 与访问管理进行相关操作,具体支持的操作可参见 API 概览。
注意:
- 本章节访问管理 API 接口为最新 CAM 3.0 接口,后续 CAM 相关新增功能和接口都会在此章节更新,我们强烈建议您使用最新 API3.0 版本。
- 部分接口功能仍在灰度发布中,未覆盖所有功能或存在不稳定情况,如使用旧版接口遇到问题可参考:访问管理 API(旧版)简介。
术语表
访问管理 API 接口的常见术语请参见下表:
| 术语 | 描述 |
|---|---|
| 主账号 | 用户申请腾讯云账号时,系统会创建一个用于登录腾讯云服务的主账号。主账号具有最高的资源使用和管理权限。主账号可以管理和拥有账号下所有的资源和权限,可以创建子账号并为子账号分配权限以便于进行权限隔离。 |
| 子账号 | 子账号为您在腾讯云中创建的实体,有确定的身份ID和身份凭证。分为子用户、企业微信子用子账号户、协作者以及消息接收人。其中子用户和协作者的区别在于子用户完全归属于主账号,而协作者为之前已经注册的腾讯云主账号。即协作者可以有两个身份,一个为自身账号的主账号,也可以场换为对应主账号的协作者。具体可参考 用户类型 。 |
| 管理员用户 | 管理员用户指 AdministratorAccess 授权权限的子账号,由主账号或管理员为其创建,拥有对 CAM 资源的管理权限,默认具备较高权限,建议仅在必要场景使用。 |
| 用户组 | 用户组是多个相同职能的用户(子账号)的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。 |
| 角色 | CAM 的角色可以理解为一种虚拟用户,与子用户、协作者或接收消息者这类实体用户不同。角色同样可被授予策略。角色可以是任一腾讯云账号代入,并不是唯一地与某个账号绑定关联。角色没有关联的持久证书(密码或访问密钥),主账号仅在申请角色时需要使用持久证书,在用户担任某个角色时,主账号则会动态创建临时证书并为用户进行相应访问时提供该临时证书,用户即可通过控制台和 API两种方式使用角色 |
| 权限 | 权限是描述在某些条件下允许或拒绝执行某些操作访问某些资源。默认情况下,主账号是资源的拥有者,拥有其名下所有资源的访问权限;子账号没有任何资源的访问权限;资源创建者不自动拥有所创建资源的访问权限,需要资源拥有者进行授权。 |
| 策略 | 策略是用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略 |
使用限制
对于 API 接口的参数限制,请参考各接口文档中的参数说明。
API 快速入门
您可以使用 API Explorer 工具在线调用 API。
本文以创建 CAM 子用户为例,通过 API Explorer 工具调用 API 接口的步骤如下:
- 进入 API Explorer 工具页面。更多 API Explorer 工具使用信息,请参见 使用 API Explorer。
- 调用 AddUser 接口,创建一个 CAM 子用户。
- 创建完成子用户后,可在 CAM 控制台的用户列表中查看到创建的子用户,您可以将用户加入用户组,也可以为该子用户绑定策略。
