产品简介
产品计费
- 云原生网关
- Polaris（北极星）
- 公网流量价格说明
- 退费说明
- 欠费说明
云原生网关
- 云原生网关概述
- 快速入门
- 操作指南
- 迁移指南
- 实践教程
AI 网关
- AI 网关概述
- 版本生命周期管理
- 快速入门
- 操作指南
Polaris（北极星）
- 北极星概述
- 快速入门
- 实例管理
- 服务管理（注册中心）
- 服务治理（治理中心）
- 配置管理（配置中心）
- 可观测性
- 操作记录
- 权限控制（权限中心）
- Java 应用开发
- Go 应用开发
- 迁移指南
权限与标签
- 主账号获取访问授权
- 子账号获取访问授权
- 主账号获取云原生 API 网关授权
- 子账号获取云原生 API 网关访问授权
- 标签管理
API 参考
- History
- Introduction
- API Category
- Making API Requests
- Cloud-Native Gateway APIs
- Microservice Engine APIs
- Data Types
- Error Codes
联系我们

子账号获取云原生 API 网关访问授权

聚焦模式

字号

最后更新时间： 2026-05-08 14:26:45

子账号使用云原生 API 网关
子账号使用 TSE 时，需要对三方面进行授权：
1. 子账号使用微服务引擎的云原生 API 网关前，需要进行鉴权。因此首先需要授予云原生 API 网关访问 CAM 的权限，详见 步骤 1。
2. TSE 需要获取访问用户其他云产品资源的权限，如查看用户子网所在的可用区信息等场景。因此，需要传递服务角色至云原生 API 网关，共有两个策略需要绑定至子账号，详见 步骤 2。策略中，具体接口和使用场景详情请参见 附录。
3. 子账号操作 TSE 资源时，需要读写权限。因此需要使用主账号授予子账号云原生 API 网关资源的读写权限，详见 步骤 3。
说明
CAM 相关概念详见 子账号获取访问授权。
步骤1：授予子账号访问 CAM 权限
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏，单击用户 > 用户列表，进入用户管理页面。
3. 选择要授予 TSE 使用权限的用户，单击操作列的授权。
4. 从策略列表中筛选出 QcloudCamSubaccountsAuthorizeRoleFullAccess 策略。
﻿
﻿
说明
 QcloudCamSubaccountsAuthorizeRoleFullAccess 代表访问管理（CAM）子账号授权服务角色相关权限，包含子账号在授权服务角色过程中涉及的全部权限。
5. 单击确定，绑定策略。该策略会显示在用户的策略列表中。
﻿
﻿
步骤2：传递服务角色
步骤2.1：绑定传递服务角色（策略一）
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏，单击策略，进入策略管理列表页。
3. 在右侧搜索栏中，输入 QcloudAccessForTSERole 进行搜索。
﻿
﻿
说明
 QcloudAccessForTSERole：代表该策略仅供腾讯云微服务引擎（TSE）服务角色（TSE_QCSRole）进行关联，用于 TSE 临时访问云服务资源。
4. 在搜索结果中，单击 QcloudAccessForTSERole 的关联用户/组，选择需要授权的子账号。
﻿
﻿
5. 单击确定完成授权。该策略会显示在用户的策略列表中。
步骤2.2：绑定传递服务角色（策略二）
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏，单击策略，进入策略管理列表页。
3. 在右侧搜索栏中，输入 QcloudAccessForApiGateWayRoleInCloudNativeAPIGateway 进行搜索。
﻿
﻿
说明
  QcloudAccessForApiGateWayRoleInCloudNativeAPIGateway：该策略仅供 API 网关（ApiGateWay）服务角色（ApiGateWay_QCSRole）进行关联，用于 IoTHuB 访问其他云服务资源。
4. 在搜索结果中，单击 QcloudAccessForApiGateWayRoleInCloudNativeAPIGateway 的关联用户/组，选择需要授权的子账号。
﻿
﻿
5. 单击确定完成授权。该策略会显示在用户的策略列表中。
步骤3：授予读写权限
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏，单击策略，进入策略管理列表页。
3. 在右侧搜索栏中，输入 QcloudTSEFullAccess 进行搜索。
﻿
﻿
说明
 QcloudTSEFullAccess：腾讯云微服务引擎（TSE）全读写访问权限。目前云原生 API 网关仅支持授予全量操作权限，尚不支持资源级授权。
4. 在搜索结果中，单击 QcloudTSEFullAccess 的关联用户/组，选择需要授权的子账号。
﻿
﻿
5. 单击确定完成授权。该策略会显示在用户的策略列表中。
6. 重复步骤3.2到步骤3.5，完成 QcloudAPIGWReadOnlyAccess 策略的绑定。
说明
 QcloudAPIGWReadOnlyAccess：API 网关（API Gateway）只读访问权限，包括云监控（MONITOR）部分权限。
附录
TSE 平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应 TSE 产品功能的使用。TSE 中涉及到的对云产品的调用如下：
云产品
接口名
接口作用
影响到 TSE 平台的操作
云服务器（CVM）
DescribeZones
查询可用区
创建实例时查看子网所在可用区
私有网络（VPC）
DescribeVpcs
查询 VPC 列表
创建实例时选择实例访问地址所属 VPC
私有网络（VPC）
DescribeSubnets
查询 VPC 列表
创建实例时选择实例访问地址所属子网
云监控（Monitor）
GetMonitorData
拉取指标监控数据
查看 TSE 中监控数据
云监控（Monitor）
DescribeDashboardMetricData
拉取指标监控数据
查看 TSE 中监控数据
容器服务（TKE）
DescribeClusters
拉取集群信息
TSE 北极星网格绑定 K8S 集群
容器服务（TKE）
DescribeClusterSecurity
拉取集群密钥信息
TSE 北极星网格绑定 K8S 集群
授权示例如下：
{
  "version": "2.0",
  "statement": [
    {
      "effect": "allow",
      "action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeSubnets",
        "monitor:GetMonitorData",
        "monitor:DescribeDashboardMetricData",
        "tke:DescribeClusters",
        "tke:DescribeClusterSecurity"
      ],
      "resource": [
        "*"
      ]
    }
  ]
}
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

注册配置治理

子账号获取云原生 API 网关访问授权

子账号使用云原生 API 网关

步骤1：授予子账号访问 CAM 权限

步骤2：传递服务角色

步骤2.1：绑定传递服务角色（策略一）

步骤2.2：绑定传递服务角色（策略二）

步骤3：授予读写权限

附录

帮助和支持

云产品	接口名	接口作用	影响到 TSE 平台的操作
云服务器（CVM）	DescribeZones	查询可用区	创建实例时查看子网所在可用区
私有网络（VPC）	DescribeVpcs	查询 VPC 列表	创建实例时选择实例访问地址所属 VPC
私有网络（VPC）	DescribeSubnets	查询 VPC 列表	创建实例时选择实例访问地址所属子网
云监控（Monitor）	GetMonitorData	拉取指标监控数据	查看 TSE 中监控数据
云监控（Monitor）	DescribeDashboardMetricData	拉取指标监控数据	查看 TSE 中监控数据
容器服务（TKE）	DescribeClusters	拉取集群信息	TSE 北极星网格绑定 K8S 集群
容器服务（TKE）	DescribeClusterSecurity	拉取集群密钥信息	TSE 北极星网格绑定 K8S 集群