开发指南

API 文档

填写文档满意度调查问卷,赢取缤纷好礼> HOT

使用自定义策略授权

最近更新时间:2022-05-16 10:45:57

本文介绍如何自定义配置云开发自定义策略,为子账号授权特定权限。

说明:

自定义策略支持更加灵活的权限配置,允许做细粒度的权限划分,您可以对策略中的元素进行设置,包括操作(action)、资源(resource)、以及效力(effect),如需了解更多的策略语法,详情请参见 元素参考

开通云开发

首次使用腾讯云云开发时,需要授权并开通云开发,不同身份的开通方式如下:

  • 主账号:初次进入云开发控制台,控制台会提示授权确认,确认授权后即可创建环境。
    说明:

    此行为是一次性行为,只要开通过云开发,后续都不再需要此操作。(推荐)

  • 子账号:子账号需要主账号授权资源访问后,才可使用。开通方式请参见下文 使用云开发

使用云开发

策略语法

本条策略语法可以帮助主账号对子账号的环境权限进行设置。

说明:

您需要将{$EnvId}替换为真实的环境 ID,实现对子账户设置特定环境的访问权限。

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "tcb:CheckTcbService",
                "tcb:DescribePackages",
                "tcb:DescribeEnvLimit",
                "tcb:DescribeBillingInfo",
                "tcb:DescribeExtensionsInstalled",
                "cam:GetRole",
                "tcb:DescribeCloudBaseRunAdvancedConfiguration",
                "tcb:DescribeCloudBaseProjectLatestVersionList",
                "tcb:DescribeExtensions",
                "tcb:DescribePostPackage",
                "tcb:DescribeICPResources",
                "tcb:DescribeExtensionUpgrade"
            ]
        },
        {
            "effect": "allow",
            "resource": [
                "qcs::tcb:::env/{$EnvId}"
            ],
            "action": [
                "tcb:*"
            ]
        },
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "cos:*"
            ]
        },
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "scf:*"
            ]
        },
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "cls:*"
            ]
        },
        {
            "effect": "allow",
            "resource": [
                "*"
            ],
            "action": [
                "ssl:DescribeCertificateDetail",
                "ssl:DescribeCertificates"
            ]
        }
    ]
}

子账号关联自定义策略操作

说明:

子账号默认没有访问云开发资源的权限,因此使用子账号登录云开发控制台,无法访问云开发资源。

如果需要添加特定权限,可通过给子账号添加自定策略的方式来访问云开发资源。具体操作步骤如下:

步骤1:添加自定义策略

  1. 登录 CAM 控制台,选择左侧菜单策略
  2. 进入策略页面,单击新建自定义策略
  3. 选择创建策略方式,单击按策略语法创建
  4. 选择策略模板,选择空白模板,单击下一步
  5. 策略语法说明 中的策略复制进策略内容编辑器内,替换{$EnvId}为真实环境 ID。

步骤2:关联自定义策略

  1. 登录 CAM 控制台,选择左侧菜单用户 > 用户列表
  2. 进入用户列表页面,单击新建用户
  3. 进入新建用户页面,根据提示填写用户相关信息。
  4. 信息填写完毕后,前往策略列表中选择新建的自定义策略。
  5. 单击完成,即可完成创建子账号。

除了上述在创建子账号时添加策略的方式外,也可通过策略关联用户的方式授权,详情请参见 授权管理 指引。

目录