有奖捉虫:云通信与企业服务文档专题,速来> HOT

操作场景

在企业上云的实际应用场景中,会存在不同岗位(如财务、运维、开发等)的员工需要登录访问腾讯云的场景,由于不同岗位的员工关注的内容不同,我们需要按照岗位职责为员工分配权限,保障权限的分配合理和安全。
按照岗位创建用户组,通过用户组为相同岗位的员工授权。
当一个岗位有多个员工时,只需要管理用户组的权限,不需要按照用户逐个进行授权,让管理更便捷。相关操作请参见:新建用户组为用户组绑定策略
当有新员工加入时,只需要将员工加入到对应岗位的用户组,即可获得相应权限。
当有员工离职或岗位变更时,只需将员工移出对应岗位的用户组,即可回收相应权限。相关操作请参见:为用户组添加/移除用户

通过用户组为运维员工授权

场景描述

以运维员工为例,不同运维岗位关注的功能不同,可以为运维组授予相应的权限。

操作步骤

1. 创建运维组,并为运维组授权。
2. 创建 CAM 子账号, 并将 CAM 子账号加入指定运维组。

常见运维组及授权策略参考示例

运维权限组
权限策略名称
权限策略说明
运维负责人
AdministratorAccess
管理所有腾讯云资源的权限
云服务器运维组
QcloudCVMFullAccess
云服务器(CVM)全读写访问权限,包括CVM及相关CLB、VPC、监控权限
QcloudASFullAccess
弹性伸缩(AS)全读写访问权限
QcloudCOSFullAccess
对象存储(COS)全读写访问权限
QcloudCFSFullAccess
文件存储(CFS)全读写访问权限
QcloudCASFullAccess
归档存储(CAS)全读写访问权限
网络运维组
QcloudVPCFullAccess
私有网络(VPC)全读写访问权限,包含NAT网关
QcloudDCFullAccess
专线接入(DC)全读写访问权限
QcloudCDNFullAccess
内容分发网络(CDN)全读写访问权限
QcloudECDNFullAccess
全站加速网络(ECDN)全读写访问权限
QcloudCLBFullAccess
负载均衡(CLB)全读写访问权限
QcloudBMLBFullAccess
黑石负载均衡(BM LB)全读写访问权限
QcloudEIPFullAccess
弹性IP(EIP)全读写访问权限
QcloudBMEIPFullAccess
黑石弹性公网IP(BM EIP)全读写访问权限
数据库运维组
QcloudSQLServerFullAccess
云数据库 SQL Server 全读写访问权限
QcloudCKVFullAccess
NoSQL 数据库CKV全读写访问权限
QcloudCTSDBFullAccess
时序数据库(CTSDB)全读写访问权限
QcloudCynosDBFullAccess
云数据库TDSQL-C(CynosDB)全读写访问权限
QcloudDBSFullAccess
数据库备份服务(DBS)全读写访问权限
QcloudKonisGraphFullAccess
图数据库 KonisGraph 全读写访问权限
QcloudMemcachedFullAccess
云数据库(memcached)全读写访问权限
QcloudMongoDBReadOnlyAccess
文档数据库(MongoDB)全读写访问权限
QcloudPostgreSQLFullAccess
云数据库PostgreSQL全读写访问权限
QcloudRedisFullAccess
云数据库Redis全读写访问权限
QcloudTcaplusDBFullAccess
游戏数据库(TencentDB for TcaplusDB)全读写访问权限
QcloudTDMySQLFullAccess
分布式数据库(TDMySQL)全读写权限
QcloudMariaDBFullAccess
云数据库 MariaDB 全读写访问权限
安全运维组
QcloudSSAFullAccess
安全运营中心(SSA)全读写访问权限
QcloudTCSSFullAccess
容器安全服务(TCSS)全读写访问权限
QcloudCWPFullAccess
主机安全(CWP)全读写访问权限
QcloudCFWFullAccess
云防火墙(CFW)全读写访问权限
QcloudAntiDDoSFullAccess
DDoS防护 (AntiDDoS)全读写访问权限
监控运维组
QcloudMonitorFullAccess
云产品监控(MONITOR)全读写访问权限,包括查看用户组的权限
QcloudRUMFullAccess
前端性能监控(RUM)全读写访问权限
QcloudTAPMFullAccess
应用性能监控(TAPM)全读写访问权限
QcloudCATFullAccess
云拨测(CAT)全读写访问权限


通过标签和用户组为开发员工授权

场景描述

假设有 A、B 两个项目团队,两个项目使用的资源(如云服务器)不同,每个团队中有若干开发人员。
每个项目使用的云服务器会动态增加或减少,可以使用标签来动态授权管理。使用 Application&GoupA 标记项目 A 使用的云服务器,Application&GoupB 标记项目 B 使用的云服务器。查看支持标签的产品 >>

操作步骤

1. 为项目 A 和项目 B 的开发团队分别创建两个用户组:GroupA 和 GroupB。
2. 为 GroupA 和 GroupB 分别创建自定义策略,在自定义策略中授予云服务器的管理权限,在 condition 中,限定可以访问的云服务器标签、项目。
3. 将策略授权给对应用户组。
4. 为开发人员创建 CAM 子账号,加入到对应用户组。

项目 A 的开发人员权限策略参考示例

{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cvm:*"
],
"resource": "*",
"condition": {
"for_any_value:string_equal": {
"qcs:resource_tag": [
"Application&GroupA"
]
}
}
}
]
}