功能简介
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用 CAM 创建子用户、用户组和角色,并通过策略控制其访问范围。CAM 支持用户和角色 SSO 能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
您最初创建的腾讯云主账号,拥有整个账号全部腾讯云服务和资源的完全访问权限,建议您保护好主账号的凭证信息,日常使用子用户或角色进行访问,并开启多因素校验和定时轮换密钥。
操作场景
如果您在腾讯云中使用到了云服务器、私有网络、云数据库等多项服务,这些服务由不同的人管理,但都共享您的云账号密钥,将存在如下问题:
您的密钥由多人共享,泄密风险高。
您无法限制其它人的访问权限,易产生误操作造成安全风险。
基本概念
主账号
子账号
子账号由主账号创建,完全归属于创建该子用户的主账号,有确定的身份 ID 和身份凭证。
身份凭证
包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源
资源是云服务中被操作的对象,如一个时序数据库 InfluxDB 版实例等。
权限与策略
权限:指在某些条件下,允许或拒绝某些用户执行某些操作访问某一些资源。
策略:指定义和描述一条或多条权限的语法规范。具体描述语法,请参见 权限与策略。
说明:
默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。您需要创建策略来允许子账号使用他们所需要的资源或权限。
时序数据库 InfluxDB 版默认的权限策略及其自定义策略的具体操作,请参见 权限与策略。
为子账号或者跨云账号授权权限策略的具体操作,请参见 为子账号或跨云账号授权策略。
授权粒度
云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
服务级:定义对服务的整体是否拥有访问权限,可分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
操作级:定义对服务的特定接口(API)是否拥有访问权限。例如:授权某账号对云数据库服务进行只读操作。
资源级:定义对特定资源是否有访问权限,这是最细的授权粒度。例如:授权某账号仅读写操作某台云数据库服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
说明:
