- 新手指引
- 动态与公告
- 产品动态
- 公共镜像更新记录
- 公告
- 关于CentOS 7系列部分镜像pip包管理工具更新公告
- 关于 CentOS 8 终止维护公告
- 关于不再支持 SUSE 商业版镜像公告
- 关于多个可用区云服务器价格下调公告
- 关于 OrcaTerm 代理 IP 地址更替的公告
- 关于硅谷地域标准型 S3 价格调整的公告
- 腾讯云 Linux 镜像长期漏洞修复策略公告
- 关于 Ubuntu 10.04 镜像下线及存量软件源配置的公告
- 关于 Ubuntu14.04 无法启动 Tomcat 的解决方案
- 关于Windows云服务器升级Virtio网卡驱动的通知
- 关于安全组53端口配置的公告
- 关于不再支持 Windows Server 2003 系统镜像的公告
- 关于不再支持 Windows Server 2008 R2 企业版 SP1 64位系统镜像的公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 针对 CVM 的最佳实践
- 云服务器选型最佳实践
- 如何搭建网站
- 搭建环境
- 搭建网站
- 搭建应用
- 搭建可视化界面
- 数据备份
- 本地文件上传到云服务器
- 其他场景相关操作
- 云服务器通过内网访问对象存储
- 启动模式 Legacy BIOS 和 UEFI 最佳实践
- Linux 实例数据恢复
- Windows 实例磁盘空间管理
- Linux 实例手动更换内核
- 云服务器搭建 Windows 系统 AD 域
- 网络性能测试
- 高吞吐网络性能测试
- Linux 系统使用 USB/IP 远程共享 USB 设备
- Windows 系统使用 RemoteFx 重定向 USB 设备
- 在 CVM 上通过 AVX512 加速人工智能应用
- 构建 Tencent SGX 机密计算环境
- M6p 实例配置持久内存
- 使用 Python 调用云 API 实现批量共享自定义镜像
- 运维指南
- 故障处理
- 实例相关故障
- 无法登录云服务器问题处理思路
- Windows 实例登录相关问题
- Linux 实例登录相关问题
- 无法登录 Linux 实例
- Linux 实例:无法通过 SSH 方式登录
- Linux 实例:CPU 或内存占用率高导致登录卡顿
- Linux 实例:端口问题导致无法登录
- Linux 实例:VNC 登录报错 Module is unknown
- Linux 实例:VNC 登录报错 Account locked due to XXX failed logins
- Linux 实例:VNC 登录输入正确密码后无响应
- Linux 实例:VNC 或 SSH 登录报错 Permission denied
- Linux 实例:/etc/fstab 配置错误导致无法登录
- Linux 实例:sshd 配置文件权限问题
- Linux 实例:/etc/profile 死循环调用问题
- 服务器被隔离导致无法登录
- 带宽占用高导致无法登录
- 安全组设置导致无法远程连接
- Linux 实例使用 VNC 及救援模式排障
- 关机和重启云服务器失败
- 无法创建 Network Namespace
- 内核及 IO 相关问题
- 系统 bin 或 lib 软链接缺失
- 云服务器疑似被病毒入侵问题
- 创建文件报错 no space left on device
- Linux 实例内存相关故障
- 网络相关故障
- 实例相关故障
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 词汇表
- 新手指引
- 动态与公告
- 产品动态
- 公共镜像更新记录
- 公告
- 关于CentOS 7系列部分镜像pip包管理工具更新公告
- 关于 CentOS 8 终止维护公告
- 关于不再支持 SUSE 商业版镜像公告
- 关于多个可用区云服务器价格下调公告
- 关于 OrcaTerm 代理 IP 地址更替的公告
- 关于硅谷地域标准型 S3 价格调整的公告
- 腾讯云 Linux 镜像长期漏洞修复策略公告
- 关于 Ubuntu 10.04 镜像下线及存量软件源配置的公告
- 关于 Ubuntu14.04 无法启动 Tomcat 的解决方案
- 关于Windows云服务器升级Virtio网卡驱动的通知
- 关于安全组53端口配置的公告
- 关于不再支持 Windows Server 2003 系统镜像的公告
- 关于不再支持 Windows Server 2008 R2 企业版 SP1 64位系统镜像的公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 针对 CVM 的最佳实践
- 云服务器选型最佳实践
- 如何搭建网站
- 搭建环境
- 搭建网站
- 搭建应用
- 搭建可视化界面
- 数据备份
- 本地文件上传到云服务器
- 其他场景相关操作
- 云服务器通过内网访问对象存储
- 启动模式 Legacy BIOS 和 UEFI 最佳实践
- Linux 实例数据恢复
- Windows 实例磁盘空间管理
- Linux 实例手动更换内核
- 云服务器搭建 Windows 系统 AD 域
- 网络性能测试
- 高吞吐网络性能测试
- Linux 系统使用 USB/IP 远程共享 USB 设备
- Windows 系统使用 RemoteFx 重定向 USB 设备
- 在 CVM 上通过 AVX512 加速人工智能应用
- 构建 Tencent SGX 机密计算环境
- M6p 实例配置持久内存
- 使用 Python 调用云 API 实现批量共享自定义镜像
- 运维指南
- 故障处理
- 实例相关故障
- 无法登录云服务器问题处理思路
- Windows 实例登录相关问题
- Linux 实例登录相关问题
- 无法登录 Linux 实例
- Linux 实例:无法通过 SSH 方式登录
- Linux 实例:CPU 或内存占用率高导致登录卡顿
- Linux 实例:端口问题导致无法登录
- Linux 实例:VNC 登录报错 Module is unknown
- Linux 实例:VNC 登录报错 Account locked due to XXX failed logins
- Linux 实例:VNC 登录输入正确密码后无响应
- Linux 实例:VNC 或 SSH 登录报错 Permission denied
- Linux 实例:/etc/fstab 配置错误导致无法登录
- Linux 实例:sshd 配置文件权限问题
- Linux 实例:/etc/profile 死循环调用问题
- 服务器被隔离导致无法登录
- 带宽占用高导致无法登录
- 安全组设置导致无法远程连接
- Linux 实例使用 VNC 及救援模式排障
- 关机和重启云服务器失败
- 无法创建 Network Namespace
- 内核及 IO 相关问题
- 系统 bin 或 lib 软链接缺失
- 云服务器疑似被病毒入侵问题
- 创建文件报错 no space left on device
- Linux 实例内存相关故障
- 网络相关故障
- 实例相关故障
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 词汇表
操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在云服务器(Cloud Virtual Machine,CVM)控制台中查看和使用特定资源的权限。本文档提供了查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。
操作示例
CVM 的全读写策略
如果您希望用户拥有创建和管理 CVM 实例的权限,您可以对该用户使用名称为:QcloudCVMFullAccess 的策略。该策略是通过让用户分别对 CVM、VPC(Virtual Private Cloud)、CLB(Cloud Load Balance)和 MONITOR 中所有资源都具有操作的权限来达到目的。
具体操作步骤如下:
参见 授权管理,将预设策略 QcloudCVMFullAccess 授权给用户。
CVM 的只读策略
如果您希望用户拥有查询 CVM 实例的权限,但是不具有创建、删除、开关机的权限,您可以对该用户使用名称为:QcloudCVMInnerReadOnlyAccess 的策略。该策略是通过让用户分别对如下操作 CVM 中所有以单词 “Describe” 开头的所有操作和所有以单词 “Inquiry” 开头的所有操作具有操作的权限来达到目的。具体操作步骤如下:
参见 授权管理,将预设策略 QcloudCVMInnerReadOnlyAccess 授权给用户。
CVM 相关资源的只读策略
如果您希望用户只拥有查询 CVM 实例及相关资源(VPC 、CLB)的权限,但不允许该用户拥有创建、删除、开关机等操作的权限,您可以对该用户使用名称为:QcloudCVMReadOnlyAccess 的策略。该策略是通过让用户分别对如下操作具有操作权限来达到目的:
CVM 中以单词 “Describe” 开头的所有操作和所有以单词 “Inquiry” 开头的所有操作。
VPC 中以单词 “Describe ”开头的所有操作、以单词 “Inquiry” 开头的所有操作和以单词 “Get” 开头的所有操作。
CLB 中以单词 “Describe” 开头的所有操作。
Monitor 中所有的操作。
弹性云盘的相关策略
如果您希望用户可以查看 CVM 控制台中的云硬盘信息,并具有创建云硬盘,使用云硬盘等的权限,可先将以下操作添加到您策略中,再将该策略关联到该用户。
CreateCbsStorages:创建云硬盘。
AttachCbsStorages:挂载指定的弹性云盘到指定的云服务器上。
DetachCbsStorages:解挂指定的弹性云盘。
ModifyCbsStorageAttributes:修改指定云硬盘的名称或项目 ID。
DescribeCbsStorages:查询云硬盘的详细信息。
DescribeInstancesCbsNum:查询云服务器已挂载的弹性云盘数量和可挂载的弹性云盘的总数。
RenewCbsStorage:续费指定的弹性云盘。
ResizeCbsStorage:扩容指定的弹性云盘。
具体操作步骤如下:
1. 根据 策略,创建一个可以查看 CVM 控制台中的云硬盘信息,具有创建云硬盘,使用云硬盘等其他权限的自定义策略。
策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"effect": "allow","action": ["name/cvm:CreateCbsStorages","name/cvm:AttachCbsStorages","name/cvm:DetachCbsStorages","name/cvm:ModifyCbsStorageAttributes","name/cvm:DescribeCbsStorages"],"resource": ["qcs::cvm::uin/1410643447:*"]}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
安全组的相关策略
如果您希望用户可以查看并使用 CVM 控制台中的安全组,可将以下操作添加到您策略中,再将该策略关联到该用户。
DeleteSecurityGroup:删除安全组。
ModifySecurityGroupPolicys:替换安全组所有策略。
ModifySingleSecurityGroupPolicy:修改安全组单条策略。
CreateSecurityGroupPolicy:创建安全组策略。
DeleteSecurityGroupPolicy:删除安全组策略。
ModifySecurityGroupAttributes:修改安全组属性。
具体操作步骤如下:
1. 根据 策略,创建一个允许用户在 CVM 控制台中具有创建、删除、修改安全组等其他权限的自定义策略。
策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/cvm:ModifySecurityGroupPolicys","name/cvm:ModifySingleSecurityGroupPolicy","name/cvm:CreateSecurityGroupPolicy","name/cvm:DeleteSecurityGroupPolicy"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
弹性 IP 地址的相关策略
如果您希望用户可以查看并使用 CVM 控制台中的弹性 IP 地址,可先将以下操作添加到您策略中,再将该策略关联到该用户。
AllocateAddresses:分配地址给 VPC 或者 CVM。
AssociateAddress:将弹性 IP 地址与实例或者与网络接口关联。
DescribeAddresses:查看 CVM 控制台中的弹性 IP 地址。
DisassociateAddress:取消弹性 IP 地址与实例或者与网络接口关联。
ModifyAddressAttribute:修改弹性 IP 地址的属性。
ReleaseAddresses:解除弹性 IP 地址。
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CVM 控制台中具有查看弹性 IP 地址并可以将其分配给实例并与之相关联,但不可以修改弹性 IP 地址的属性、取消弹性 IP 地址的关联或释放弹性 IP 地址的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/cvm:DescribeAddresses","name/cvm:AllocateAddresses","name/cvm:AssociateAddress"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
授权用户拥有特定 CVM 的操作权限策略
如果您希望授权用户拥有特定 CVM 操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户用于对 ID 为 ins-1,地域为广州的 CVM 实例的操作权限,策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": "cvm:*","resource": "qcs::cvm:ap-guangzhou::instance/ins-1","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
授权用户拥有特定地域 CVM 的操作权限策略
如果您希望授权用户拥有特定地域的 CVM 的操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户拥有对广州地域的 CVM 机器的操作权限,策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": "cvm:*","resource": "qcs::cvm:ap-guangzhou::*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
授权子账号拥有 CVM 的所有权限但不包括支付权限
假设,企业账号(CompanyExample,ownerUin 为12345678)下有一个子账号(Developer),该子账号需要对企业账号的 CVM 服务拥有所有管理权限(例如创建、管理等全部操作),但不包括支付权限(可下单但无法支付)。
我们可通过以下两种方案进行实现:
方案 A
企业账号 CompanyExample 直接将预设策略 QcloudCVMFullAccess 授权给子账号 Developer。授权方式请参见 授权管理。
方案 B
1. 根据以下策略语法,创建一个 自定义策略。
{"version": "2.0","statement":[{"effect": "allow","action": "cvm:*","resource": "*"}]}
2. 将该策略授权给子账号。授权方式请参见 授权管理。
授予子账号拥有项目管理的操作权限
假设,企业账号(CompanyExample,ownerUin 为12345678)下有一个子账号(Developer),需要基于项目授权子账号在控制台管理资源。
具体操作步骤如下:
1. 根据业务权限创建一个项目管理的自定义策略。
详情请参见 策略。
2. 参见 授权管理,将创建好的自定义策略授权给子账号。
子账号做项目管理时如遇到无权限提示,例如查看快照、镜像、VPC、弹性公网 IP 等产品时提示无权限,可授权子账号 QcloudCVMAccessForNullProject、QcloudCVMOrderAccess 和 QcloudCVMLaunchToVPC 预设策略。授权方式请参见 授权管理。
是
否
本页内容是否解决了您的问题?