腾讯云账号(主账号)和子账号进行权限分割,按需为子账号赋予不同的权限,可以避免因暴露腾讯云账号密钥而造成的安全风险。
给子账号授权权限策略
背景信息
企业 A 开通了腾讯云时序数据库 CTSDB 3.0 版服务,需要自己的团队成员操作时序数据库 CTSDB 3.0服务所涉及的云上资源。出于安全或信任的考虑,企业 A 不希望将云账号密钥直接透露给团队成员,而希望能给团队成员创建相应的子账号。而子账号只能在主账号授权的前提下操作云上资源,且不需要对子账号进行独立的计量计费,所有开销都计入企业腾讯云账号下,随时也可以撤销或者删除子账号的操作权限。
操作步骤
步骤1:创建子账号用户
您可以通过控制台或者 API 接口进行创建。
步骤2(可选):创建自定义权限策略
1. 在访问管理(CAM)控制台的 策略 页面的右上角的搜索框,查找策略。预设策略为系统默认的策略,自定义策略为用户依据业务需求指定义的策略。请根据实际查找策略。
2. 如果策略不存在,您需要自定义权限策略。具体操作,请参见 创建自定义策略。
步骤3:给子账号用户授予权限策略
步骤4:通过子账号登录腾讯云控制台
如果您需要查看并修改子账号的用户信息,请参见 用户信息。
如果您想撤销或者删除子账号的操作权限,请参见 删除子用户。
跨云账号授权权限策略
背景信息
企业 A 开通了时序数据库 CTSDB 3.0服务,希望企业 B 拥有其时序数据库 CTSDB 3.0的部分业务权限。例如,实例的读写权限、库管理等。而企业 B 希望有一个子账号负责这部分业务。企业 A 可以授权企业 B 的子账号通过角色访问时序数据库 CTSDB 3.0的资源。角色的具体概念以及应用场景,请参见 角色概述。
操作步骤
步骤1:企业 A 为企业 B 创建角色
1. 登录腾讯云访问管理(CAM)控制台,进入 角色 页面。
2. 单击新建角色,在选择角色载体对话框中,选择腾讯云账户。
3. 在新建自定义角色配置向导页面,创建角色。
a. 在输入角色载体信息页面,选择云账号类型为其他主账号,在账号 ID 输入企业 B 的主账号,其他参数可根据提示设置,单击下一步。
b. 在配置角色策略页面,选择需要授权该角色的策略,单击下一步。
c. 在审阅页面的角色名称输入框,设置角色名称,例如 DevOpsRole。并审阅所选择的策略,单击完成。
步骤2:企业 B 为子账号赋予扮演角色的权限
2. 在访问管理(CAM)控制台的 策略 页面,单击新建自定义策略。
3. 在选择创建策略方式对话框,选择按策略语法创建。
4. 在按策略语法创建的配置向导中,创建策略。
a. 在选择模板类型区域,选择空白模板,单击下一步。
b. 在编辑策略页面,在策略名称输入框设置策略的名称。例如 sts:AssumeRole。
c. 在策略内容中,根据策略语法赋予子账号扮演角色的权限,单击完成。示例如下:
{"version": "2.0","statement": [{"effect": "allow","action": ["name/sts:AssumeRole"],"resource": ["qcs::cam::uin/12345:RoleName/DevOpsRole"]}]}
5. 返回 策略 页面,找到创建的自定义策略,单击操作列的关联用户/组。
给自定义策略关联企业 B 的子账户,单击确定。
步骤3:企业 B 使用子账号通过角色访问云资源
1. 通过公司 B 的子账号登录控制台,在控制台头像下拉菜单中,选择切换角色。
2. 在切换角色页面,输入公司 A 的主账号,以及角色名称。单击切换角色,即可切换为公司 A 的角色身份。如下图所示:
更多参考
如果您需要对角色进行修改,请参见 修改角色。
如果您需要对角色进行删除,请参见 删除角色。
