如果您需要使用云加密机(CloudHSM)、私有网络(VPC)、云服务器、数据库等服务,且这些服务由不同人进行管理,但都共享您的云账号密钥,将存在以下问题:
您的密钥由多人共享,泄密风险高。
您无法限制其它人的访问权限,易产生误操作造成安全风险。
访问控制(CAM) 用于管理腾讯云账户下资源访问权限,您可以通过 CAM 的身份管理和策略管理功能,控制各子账号的资源操作权限。
例如,您的主账户下有个主密钥,您只想让子账号 A 使用该主密钥,而让子账号 B 不能使用,则可以通过在 CAM 中配置策略,对子账号的权限进行控制。
如果您不需要对子账户进行 CloudHSM 相关资源的访问控制,您可以跳过此章节,跳过此章节并不影响您对文档中其余部分的理解和使用。
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到多个(API、资源、用户、用户组、允许、拒绝及条件)维度。
账号
主账号:腾讯云资源归属及资源使用计量计费的基本主体,可登录腾讯云服务。
子账号:由主账号创建的账号,有确定的身份 ID 和身份凭证,且能登录到腾讯云控制台。主账号可以创建多个子账号(用户)。子账号默认不拥有资源,必须由所属主账号进行授权。
身份凭证:包括登录凭证和访问证书两种,登录凭证是指用户登录名和密码,访问证书是指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个 CloudHSM 服务实例、云服务器实例、COS 存储桶及 VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
相关文档
如需了解策略和用户之间关系,请参见 策略。
如需了解策略的基本结构,请参见 元素参考。
如需了解还有哪些产品支持 CAM,请参见 支持 CAM 的产品。
后续步骤
如需创建子账号,并授权子账号管理云加密机(CloudHSM)的权限,请参见 子账号管理。
如需创建访问控制策略,请参见 创建访问控制策略。
