基本概念

最近更新时间:2023-08-25 17:48:21

我的收藏
在使用访问管理 CAM 之前,您首先需要了解一些相关概念,例如主账号、子账号、用户组等。了解这些概念可以帮助您更好地理解和使用访问管理产品。

主账号

用户申请腾讯云账号时,系统会创建一个用于登录腾讯云服务的主账号身份。主账号是腾讯云资源使用计量计费的基本主体。主账号默认拥有其名下所拥有的资源的完全访问权限,可以创建子账号并为子账号设置权限。

子账号

子账号为您在腾讯云中创建的实体,有确定的身份 ID 和身份凭证。分为子用户、企业微信子用户、协作者以及消息接收人。其中子用户和协作者的区别在于子用户完全归属于主账号,而协作者为之前已经注册的腾讯云主账号。即协作者可以有两个身份,一个为自身账号的主账号,也可以切换为对应主账号的协作者。具体可参考 用户类型

管理员用户

管理员用户是拥有 AdministratorAccess 策略权限的子账号,由主账号或者其他管理员用户创建,可以管理您腾讯云账号内所有的用户及其权限、财务相关的信息、以及云服务资产。

用户组

用户组是多个相同职能的用户(子账号)的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。

角色

CAM 的角色可以理解为一种虚拟用户,与子用户、协作者或接收消息者这类实体用户不同。角色同样可被授予策略。 角色可以是任一腾讯云账号代入,并不是唯一地与某个账号绑定关联。角色没有关联的持久证书(密码或访问密钥),主账号仅在申请角色时需要使用持久证书,在用户担任某个角色时,主账号则会动态创建临时证书并为用户进行相应访问时提供该临时证书,用户即可通过控制台和 API 两种方式使用角色。

权限

权限是描述在某些条件下允许或拒绝执行某些操作访问某些资源。默认情况下,主账号是资源的拥有者,拥有其名下所有资源的访问权限;子账号没有任何资源的访问权限;资源创建者不自动拥有所创建资源的访问权限,需要资源拥有者进行授权。

策略

策略是用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略。
预设策略 预设策略由腾讯云创建和管理,是被用户高频使用的一些常见权限集合,如管理员权限(AdministratorAccess)、云服务器全读写权限(QcloudCVMFullAccess)等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可被用户编辑。
自定义策略 由用户创建的更精细化的描述对资源管理的权限集合,允许作细粒度的权限划分,可以灵活地满足用户的差异化权限管理需求。例如,为某数据库管理员关联一条策略,使其有权管理云数据库实例,而无权管理云服务器实例。