基础权限配置指引
下载
聚焦模式
字号
本文档为 Oceanus 子用户权限配置指引,子用户的权限需要主账号进行授权(如您是子用户,请联系您主账号的持有人配置授权),具体授权步骤请您参考下文,按下文授权后子用户即可正常使用。
权限一:CAM 访问管理
为子用户设置 Oceanus 访问授权
主账号默认拥有访问流计算 Oceanus 所有资源的权限,子账号默认不拥有访问流计算 Oceanus 资源的权限,此时若以子账号访问 Oceanus 会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略授权给用户。
预设策略 | 权限范围 | 说明 |
AdministratorAccess | 腾讯云管理权限 | 子用户自动获得 Oceanus 超级管理员权限,无需在 Oceanus 空间内额外配置角色授权(默认不出现在 Oceanus 用户列表中,如需显示可手动添加)。 |
QcloudOceanusManageAccess | Oceanus 管理者权限 | 子用户自动获得 Oceanus 超级管理员权限,无需在 Oceanus 空间内额外配置角色授权(默认不出现在 Oceanus 用户列表中,如需显示可手动添加)。 |
QcloudOceanusFullAccess | Oceanus 全读写权限 | |
QcloudOceanusReadOnlyAccess | Oceanus 只读权限 | 子用户仅可以获得 Oceanus 资源的只读访问权限,但仍需在 Oceanus 产品内由管理员配置角色后才能生效,配置后最多只拥有只读权限(即使被分配了更高权限的角色,实际生效权限仍为只读),请参考 空间角色授权。 |
为子用户设置标签访问授权
主账号默认拥有访问标签的权限,以子账号设置 Oceanus 作业标签或集群信息标签会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略
QcloudTAGFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudTAGFullAccess,来帮助子账号拥有访问标签的权限。为子用户设置腾讯云可观测平台访问授权
主账号默认拥有访问腾讯云可观测平台的权限,可以对流计算 Oceanus 实行监控告警,以子账号访问腾讯云可观测平台会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略
QcloudMonitorFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudMonitorFullAccess,来帮助子账号拥有访问腾讯云可观测平台的权限。权限二:服务委托授权
流计算底层的系统服务需要获得您的授权委托,来正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源,这是流计算 Oceanus 系统正常运行所需的最基础授权。在使用流计算 Oceanus 过程中,涉及此授权时,系统会自动弹出授权界面,可以进行自动授权操作。
此授权将创建默认服务角色
Oceanus_QCSRole,主账号和子账号均可完成服务委托授权操作,但子账号需要具备相应的角色管理权限:说明:
如果使用子账号授权,只有具备角色创建权限的子账号才能成功创建
Oceanus_QCSRole 服务角色。请先为子账号添加 QcloudCamRoleFullAccess 或 QcloudCamSubaccountsAuthorizeRoleFullAccess 权限策略后再进行操作。如果子账号没有上述任一权限策略,授权操作将失败。操作步骤
1. 在首次使用流计算 Oceanus 过程中,系统会自动弹出授权界面,按提示完成授权操作即可成功创建 Oceanus_QCSRole 角色。
2. 进入授权页面:
3. 授权完成后,角色列表中出现 Oceanus_QCSRole 角色名称。
文档反馈