文档中心 云开发 产品简介 子账号访问说明

子账号访问说明

最近更新时间:2019-11-22 17:02:54

对于腾讯云云开发资源,不同企业之间或同企业多团队之间,需要对不同的团队或人员配置不同的访问权限。您可通过访问管理(以下简称 CAM)对云开发设置不同的操作权限,使得不同团队或人员能够相互协作。

开通云开发

首次使用腾讯云云开发时,不同身份的开通方式如下:

  • 主账号:进入云开发控制台,单击【创建环境】,创建环境成功后即开通成功。
    说明:

    此行为是一次性行为,只要开通过云开发,后续都不再需要此操作。(推荐)

  • 子账号:需主账号为子账号添加 QcloudCamRoleFullAccess 策略和资源访问策略,授权后,子账号登录云开发控制台可开通云开发。
    说明:

    开通权限授权后,需要结合添加使用云开发策略使用。

使用云开发

云开发提供两种粒度的策略授权,具体情况如下:

授权子用户所有资源访问权限

  • 授予子账号 QcloudAccessForTCBRole 策略,后续云开发新增的能力将会自动扩展该策略。
  • 如果需要操作 VPC 能力,需要添加私有网络(VPC)全读写访问权限 QcloudVPCFullAccess 策略。
注意:

该权限包含底层对象存储、云函数、日志、监控等资源的全读写权限,一旦为子账号添加此策略,将意味着子账号拥有上述资源,并自动拥有后续新增资源的全读写权限,因此请慎重选择。

按资源维度授权子用户访问权限(推荐)

当前云开发涉及到的资源策略如下:

  • 云开发(TCB)全读写权限:QcloudTCBFullAccess。
  • 对象存储(COS)全读写权限:QcloudCOSFullAccess。
  • 云函数(SCF)全读写访问权限:QcloudSCFFullAccess。
  • 日志服务(CLS)全读写访问权限:QcloudCLSFullAccess。
  • 云监控(MONITOR)全读写访问权限:QcloudMonitorFullAccess。

主账号根据需要在 CAM 控制台 为子账号添加相应策略。

控制台操作

说明:

子账号默认没有访问云开发资源的权限,因此使用子账号登录云开发控制台,无法访问云开发资源。

此时,需要为子账号添加预设策略的方式来访问云开发资源。具体操作步骤如下:

  1. 登录 CAM 控制台,选择左侧菜单【用户】>【用户列表】。
  2. 进入用户列表页面,单击【新建用户】。
  3. 进入新建用户页面,根据提示填写用户相关信息。
  4. 信息填写完毕后,前往策略列表中选择授权策略。
  5. 单击【完成】,即可完成创建子账号。

除了上述在创建子账号时添加策略的方式外,也可通过策略关联用户的方式授权,具体请参考 授权管理 指引。