CSS mendukung kontrol izin melalui CAM, tempat Anda dapat mengelola nama domain CSS, konfigurasi, dan data akun Anda. Anda dapat membuat, mengelola, atau menghentikan pengguna atau grup pengguna dan memberikan izin akses API kepada pengguna atau grup pengguna tersebut untuk tujuan pengelolaan identitas dan kontrol kebijakan.
Anda dapat menggunakan CAM untuk mengikat pengguna atau grup pengguna ke kebijakan yang mengizinkan atau menolak mereka mengakses sumber daya tertentu untuk menyelesaikan tugas tertentu.
Konsep
Akun root: akun Tencent Cloud terdaftar.
Sub-pengguna: dibuat dan dimiliki sepenuhnya oleh akun root.
Kolaborator: setelah akun ditambahkan sebagai kolaborator akun root, akun tersebut menjadi salah satu sub-akun dari akun root dan memiliki identitas akun root.
Grup pengguna: dibuat untuk pengguna dengan fungsi yang sama dan dapat diikatkan dengan kebijakan untuk manajemen otorisasi terpusat.
Satu atau beberapa sub-pengguna dengan peran dan kebijakan tertentu dapat dibuat untuk satu akun root. Sub-pengguna memiliki ID unik dan kredensial identitas yang dapat digunakan untuk login ke konsol Tencent Cloud untuk konfigurasi. Sub-pengguna juga memiliki izin akses API. Anda dapat login ke konsol CAM untuk membuat sub-pengguna, seperti yang ditunjukkan di bawah ini:
Langkah 2. Menambahkan kebijakan ke sub-pengguna atau grup pengguna
Anda dapat menambahkan kebijakan dan memberikan izin kepada pengguna atau grup pengguna di halaman manajemen pengguna atau grup pengguna dan manajemen kebijakan. Informasi selengkapnya dapat dilihat di Authorization Management (Manajemen Otorisasi).
Metode 1. Menambahkan kebijakan ke sub-pengguna atau grup pengguna
Metode 2. Mengaitkan kebijakan dengan pengguna/grup pengguna
Masuk ke halaman pengguna/grup pengguna, lalu pilih pengguna/grup pengguna tempat kebijakan akan ditambahkan.
Klik Users > User List (Pengguna > Daftar Pengguna) di bilah sisi kiri, pilih pengguna/grup pengguna tempat kebijakan akan ditambahkan, klik Authorize (Berikan Izin) di sebelah kanan, pilih kebijakan CSS yang sesuai, lalu klik Confirm (Konfirmasi).
Klik Users > User List (Pengguna > Daftar Pengguna) atau User Groups (Grup Pengguna) di bilah sisi kiri, klik nama pengguna/grup pengguna tempat kebijakan akan ditambahkan untuk masuk ke halaman detail, klik Associate Policy (Kaitkan Kebijakan), pilih kebijakan CSS yang sesuai, dan klik Confirm (Konfirmasi).
Klik Policies (Kebijakan) di bilah sisi kiri, pilih kebijakan yang akan ditambahkan, klik Associate Users/Groups (Kaitkan Pengguna/Grup) di kolom Operation (Operasi), pilih pengguna/grup pengguna yang akan diberi izin, lalu klik Confirm (Konfirmasi).
Kebijakan yang dapat ditambahkan
Preset policy (Kebijakan prasetel): klik Policies (Kebijakan) di bilah sisi kiri untuk masuk ke halaman Policies (Kebijakan), tempat Anda dapat melihat semua kebijakan yang ada.
Untuk menggunakan tag, otorisasi QcloudTAGFullAccess (akses baca dan tulis penuh dengan tag) diperlukan.
Untuk menggunakan log real-time, otorisasi QcloudCamFullAccess (akses baca/tulis penuh ke CAM) diperlukan.
Custom policy (Kebijakan kustom): buka halaman Policies (Kebijakan), klik Create Custom Policy (Buat Kebijakan Kustom), dan pilih Create by Policy Generator (Buat dengan Pembuat Kebijakan). Informasi selengkapnya dapat dilihat di Custom Policy (Kebijakan Kustom).
Keterangan:
Saat ini, beberapa API CSS mendukung otorisasi tingkat sumber daya.
Contoh operasi: jika Anda perlu memberikan izin API DescribeLiveDomains kepada sub-pengguna untuk nama domain tertentu, ikuti langkah-langkah di bawah ini untuk melakukan konfigurasi:
1. Buat kebijakan tingkat domain yang mengizinkan akses ke API, buka halaman Create by Policy Generator (Buat dengan Pembuat Kebijakan), lalu atur item konfigurasi berikut:
Pilih semua sumber daya atau sumber daya tertentu yang ingin Anda otorisasi.
Layanan Tencent Cloud dengan perincian otorisasi di tingkat operasi atau tingkat layanan tidak mendukung deskripsi sumber daya enam segmen; untuk layanan ini, cukup pilih semua sumber daya.
Untuk layanan Tencent Cloud dengan perincian otorisasi di tingkat sumber daya, Anda dapat memilih sumber daya tertentu. Informasi seputar metode deskripsi sumber daya dapat dilihat di panduan CAM terkait di CAM-Enabled Products (Produk yang Didukung CAM). Untuk mengetahui perincian otorisasi khusus layanan Tencent Cloud, lihat Perincian Otorisasi di CAM-Enabled Products (Produk yang Didukung CAM).< /li>
Condition (Kondisi)
Tidak
Atur kondisi efektif untuk otorisasi di atas dan masukkan IP sumber yang akan diberi otorisasi sehingga memungkinkan akses ke operasi tertentu hanya jika permintaan datang dari rentang IP yang ditentukan. Anda juga dapat menambahkan kondisi lain untuk membatasi lebih lanjut kebijakan. Informasi selengkapnya dapat dilihat di Condition (Kondisi).
Perhatian:
Jika ingin mengizinkan beberapa layanan, Anda dapat mengeklik Add Permissions (Tambahkan Izin) untuk mengonfigurasi kebijakan otorisasi untuk layanan ini.
1. Klik Next (Selanjutnya) untuk membuat kebijakan. Kemudian, kaitkan kebijakan dengan pengguna/grup pengguna menggunakan salah satu dari dua metode di atas.
Langkah 3. Menggunakan sub-akun
Anda dapat menggunakan identitas sub-akun (ID dan kata sandi sub-akun yang dibuat oleh akun root) untuk memanggil API yang diberi izin (misalnya DescribeLiveDomains) untuk mendapatkan informasi CSS (misalnya semua domain di akun terkait).
