- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- CKafka 连接器
- 最佳实践
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- DataHub APIs
- ACL APIs
- Topic APIs
- BatchModifyGroupOffsets
- BatchModifyTopicAttributes
- CreateConsumer
- CreateDatahubTopic
- CreatePartition
- CreateTopic
- CreateTopicIpWhiteList
- DeleteTopic
- DeleteTopicIpWhiteList
- DescribeDatahubTopic
- DescribeTopic
- DescribeTopicAttributes
- DescribeTopicDetail
- DescribeTopicProduceConnection
- DescribeTopicSubscribeGroup
- FetchMessageByOffset
- FetchMessageListByOffset
- ModifyDatahubTopic
- ModifyTopicAttributes
- DescribeTopicSyncReplica
- Instance APIs
- Route APIs
- Other APIs
- Data Types
- Error Codes
- SDK 文档
- 通用参考
- 常见问题
- 服务等级协议
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- CKafka 连接器
- 最佳实践
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- DataHub APIs
- ACL APIs
- Topic APIs
- BatchModifyGroupOffsets
- BatchModifyTopicAttributes
- CreateConsumer
- CreateDatahubTopic
- CreatePartition
- CreateTopic
- CreateTopicIpWhiteList
- DeleteTopic
- DeleteTopicIpWhiteList
- DescribeDatahubTopic
- DescribeTopic
- DescribeTopicAttributes
- DescribeTopicDetail
- DescribeTopicProduceConnection
- DescribeTopicSubscribeGroup
- FetchMessageByOffset
- FetchMessageListByOffset
- ModifyDatahubTopic
- ModifyTopicAttributes
- DescribeTopicSyncReplica
- Instance APIs
- Route APIs
- Other APIs
- Data Types
- Error Codes
- SDK 文档
- 通用参考
- 常见问题
- 服务等级协议
- 联系我们
- 词汇表
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账户
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 CKafka
子账号使用 CKafka 时,需要对两方面进行授权:
1. CKafka 需要获取访问用户其他云产品资源的权限,如查看虚拟专有网络(VPC)、标签(Tag)等场景。因此,需要将角色(及其许可策略)传递给 CKafka 服务,即子账号关联 ckafka_PassRole 策略。详细操作参见 步骤1:授予 ckafka_PassRole 策略。策略中,使用场景详情请参见 附录。
2. 子账号使用 CKafka ,主账号需要授予相关的权限:全量权限 或 指定资源的权限。根据您的业务需要,您可自行选择赋予权限的范围,详细操作参见 步骤2:授予全量权限或指定资源权限。
步骤1:授予 ckafka_PassRole 策略
新建 ckafka_PassRole 策略
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 单击新建自定义策略。
4. 在选择创建策略方式的弹出框中,单击按策略生成器创建,进入按策略生成器创建页。
5. 根据需要填写策略中对应的服务、操作、资源等内容,您可参照下方图片,生成 ckafka_PassRole 策略,并单击下一步。
6. 填写策略名称 ckafka_PassRole 并将其关联给相应的用户、用户组或角色,单击完成。
步骤2:授予全量权限或指定资源权限
1. 使用主账号登录 访问管理控制台。
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 在右侧搜索栏中,输入 QcloudCKafkaFullAccess 进行搜索。
4. 在搜索结果中,单击 QcloudCKafkaFullAccess 的关联用户/组,选择需要授权的子账号。
附录
Ckafka 平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应 Ckafka 产品功能的使用。Ckafka 中涉及到的对云产品的调用如下:
云产品 | 影响到 Ckafka 的操作 |
私有网络(VPC) | 创建实例时选择实例访问地址所属 VPC |
标签(Tag) | 创建实例时选择相关的 Tag |
是
否
本页内容是否解决了您的问题?