基本概念

最后更新时间:2021-08-03 17:21:43

    在使用访问管理 CAM 之前,您首先需要了解一些相关概念,例如主账号、子账号、子用户、协作者、用户组等。了解这些概念可以帮助您更好地理解和使用访问管理产品。

    主账号

    用户申请腾讯云账号时,系统会创建一个用于登录腾讯云服务的主账号身份。主账号是腾讯云资源使用计量计费的基本主体。主账号默认拥有其名下所拥有的资源的完全访问权限,可以创建子账号并为子账号设置权限。

    子账号

    子账号为您在腾讯云中创建的实体,有确定的身份 ID 和身份凭证。分为子用户、协作者以及消息接收人。其中子用户和协作者的区别在于子用户完全归属于主账号,而协作者为之前已经注册的腾讯云主账号。即协作者可以有两个身份,一个为自身账号的主账号,也可以切换为对应主账号的协作者。具体可参考 用户类型

    管理员用户

    管理员用户是拥有 AdministratorAccess 策略权限的子账号,由主账号或者其他管理员用户创建,可以管理您腾讯云账号内所有的用户及其权限、财务相关的信息、以及云服务资产。

    用户组

    用户组是多个相同职能的用户(子账号)的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。

    角色

    CAM 的角色可以理解为一种虚拟用户,与子账号、协作者或消息接受者这类实体用户不同。角色同样可被授予策略。
    角色可以是任一腾讯云账号代入,并不是唯一地与某个账号绑定关联。角色没有关联的持久证书(密码或访问密钥),主账号仅在申请角色时需要使用持久证书,在用户担任某个角色时,则会动态创建临时证书并为用户进行相应访问时提供该临时证书,即可通过控制台和 API 两种方式使用角色。

    权限

    权限是描述在某些条件下允许或拒绝执行某些操作访问某些资源。默认情况下,主账号是资源的拥有者,拥有其名下所有资源的访问权限;子账号没有任何资源的访问权限;资源创建者不自动拥有所创建资源的访问权限,需要资源拥有者进行授权。

    策略

    策略是用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略。

    • 预设策略
      预设策略由腾讯云创建和管理,是被用户高频使用的一些常见权限集合,如管理员权限(AdministratorAccess)、云服务器全读写权限(QcloudCVMFullAccess)等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可被用户编辑。
    • 自定义策略
      由用户创建的更精细化的描述对资源管理的权限集合,允许作细粒度的权限划分,可以灵活地满足用户的差异化权限管理需求。例如,为某数据库管理员关联一条策略,使其有权管理云数据库实例,而无权管理云服务器实例。