CAM 用户与权限问题

最后更新时间:2021-07-19 17:49:35

    如何授予主账号权限?

    主账号默认拥有所有权限,不需要授权

    如何授予子账号某些产品的某些操作权限?

    您可以通过 策略生成器创建 创建一条自定义策略,勾选您需要的产品及操作。通过 策略关联用户 即可。关联成功后,您的子账号将在您设置的权限范围内管理主账号下的资源。

    为子账号授权后,子账号购买的资源属于哪个账号?

    使用子账号身份购买的资源,资源归属于所属主账号。

    子账号密码如何重置?

    子用户修改密码请参阅 为子用户重置登录密码,协作者修改密码请参阅 修改账号密码

    子账号购买资源产生的费用从哪里扣除?

    使用子账号身份产生的费用,从所属主账号余额扣除。

    为什么创建策略时提示不在白名单内?

    目前有不少产品是灰度期间,个别产品暂不支持 CAM 管理。您可以查看 支持 CAM 的产品 来确定是否能够在 CAM 里以及何种粒度对产品服务权限进行管理。

    如需要对处于灰度期的产品使用 CAM 进行管理,请通过 提交工单 进行操作。

    如何对项目内资源进行精细化权限管理?

    您可以通过基于 标签 的方式对项目内资源进行精细化的权限管理。

    为什么给子账号授权了云产品只读策略(ReadOnlyAccess)却依然存在部分云产品无访问权限?

    您好,云产品只读策略(ReadOnlyAccess)仅包含授权粒度为操作级或资源级云产品的读接口,如果您访问服务级云产品或操作级/资源级云产品的写接口就会出现无权限提示。云产品的授权粒度请参阅 支持 CAM 的产品

    如何授予子账号查看有限的资源列表权限?

    以下示例介绍如何授予子账号查看有限的资源列表权限。详细信息:

    企业账号 CompanyExample(ownerUin 为 12345678)下有一个子账号 Developer,要求该子账号在控制台仅能查看企业账号 CompanyExample 的部分资源。

    以 CVM 云服务器实例为例,授予子账号仅能在控制台查看 gz 地域 ID 为 ins-xxx1 和 ins-xxx2 的云服务器实例:

    1. 通过策略语法方式创建以下策略:
    {
    "version": "2.0",
    "statement": [
    {
    "action": [
      "cvm:DescribeInstances"
    ],
    "resource": ["qcs::cvm:gz::instance/ins-xxx1",
      "qcs::cvm:gz::instance/ins-xxx2"
    ],
    "effect": "allow"
    }
    ]
    }
    

    也可以根据需要设置更高的权限,如全读写权限。若需要拥有广州地域所有云服务器实例的全读写权限,可以将策略语法写成如下形式:

    {
    "version": "2.0",
    "statement": [
        {
            "action": [
                "cvm:*"
                ],
            "resource": "qcs::cvm:gz::*",
            "effect": "allow"
        }
    ]
    }
    
    1. 将该策略授权给子账号。授权方式请参考 授权管理

    目前,支持 只读操作这种资源粒度权限控制的产品有:云服务器 CVM,云数据库 TencentDB for MySQL,容器服务 TKE。
    对于其他产品,暂不支持对具体资源授权只读权限,只能授予子账号查看所有资源的权限,或无法查看所有资源。

    有哪些云服务支持限制 IP 访问?

    服务名称 限制 IP 访问
    黑石物理服务器
    容器服务 - 持续集成
    容器服务 - 集群
    负载均衡
    对象存储
    大禹网络安全 - BGP 高防 IP