CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账户
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 CKafka
子账号使用 CKafka 时,需要对两方面进行授权:
1. CKafka 需要获取访问用户其他云产品资源的权限,如查看虚拟专有网络(VPC)、标签(Tag)等场景。因此,需要将角色(及其许可策略)传递给 CKafka 服务,即子账号关联 ckafka_PassRole 策略。详细操作参见 步骤1:授予 ckafka_PassRole 策略。策略中,使用场景详情请参见 附录。 2. 子账号使用 CKafka ,主账号需要授予相关的权限:全量权限 或 指定资源的权限。根据您的业务需要,您可自行选择赋予权限的范围,详细操作参见 步骤2:授予全量权限或指定资源权限。 步骤1:授予 ckafka_PassRole 策略
新建 ckafka_PassRole 策略
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 单击新建自定义策略。
4. 在选择创建策略方式的弹出框中,单击按策略生成器创建,进入按策略生成器创建页。
5. 根据需要填写策略中对应的服务、操作、资源等内容,您可参照下方图片,生成 ckafka_PassRole 策略,并单击下一步。
6. 填写策略名称 ckafka_PassRole 并将其关联给相应的用户、用户组或角色,单击完成。
步骤2:授予全量权限或指定资源权限
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 在右侧搜索栏中,输入 QcloudCKafkaFullAccess 进行搜索。
4. 在搜索结果中,单击 QcloudCKafkaFullAccess 的关联用户/组,选择需要授权的子账号。
2. 获取相应实例的 ID,如下图所示:
3. 进入访问管理控制台,在左侧导航栏,单击策略,进入策略管理列表页。 4. 单击新建自定义策略,在选择创建策略方式的弹出框中,单击按策略生成器创建,进入按策略生成器创建页。
5. 根据需要填写策略中对应的服务、操作、资源等内容,单击添加资源六段式,参照下图所示。
6. 在资源六段式中填写指定的实例 ID:
7. 单击下一步,为策略指定相应的用户或用户组,单击完成。
附录
Ckafka 平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应 Ckafka 产品功能的使用。Ckafka 中涉及到的对云产品的调用如下:
本页内容是否解决了您的问题?