本文档为 Oceanus 子用户权限配置指引,子用户的权限需要主账号进行授权(如您是子用户,请联系您主账号的持有人配置授权),具体授权步骤请您参考下文,按下文授权后子用户即可正常使用。
权限一:CAM 访问管理
流计算 Oceanus 采用腾讯云统一的访问管理 CAM 服务来帮助客户管理企业内不同用户对资源的访问权限,详情请参见 访问管理。 为子用户设置 Oceanus 访问授权
主账号默认拥有访问流计算 Oceanus 所有资源的权限,子账号默认不拥有访问流计算 Oceanus 资源的权限,此时若以子账号访问 Oceanus 会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略 QcloudOceanusFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudOceanusFullAccess,来帮助子账号拥有访问流计算 Oceanus 的权限,详情参见 CAM 访问管理。 权限二:服务委托授权
流计算底层的系统服务需要获得您的授权委托,来正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源,这是流计算 Oceanus 系统正常运行所需要的最基础的授权。
此权限有两种配置方式,第一种为:在使用流计算 Oceanus 过程中,涉及此授权时,系统会自动弹出授权界面。但是只有主账户、拥有 QcloudCamRoleFullAccess 权限的子用户、拥有 QcloudCamSubaccountsAuthorizeRoleFullAccess 权限的子用户可以进行自动授权操作。
第二种为子账号额外 PassRole 授权,如下所示。
子账号额外的 PassRole 授权
用户以子账号身份登录,且已完成上述授权操作,成功创建 Oceanus_QCSRole 角色后,流计算底层系统服务仍然无法成功申请扮演 Oceanus_QCSRole 角色。
此时,需要主账号或具有管理权限的子账号,对子账号授予 PassRole 权限,使其可以传递流计算角色给底层系统服务。这样在子账号登录时,流计算底层系统服务就可以访问客户 VPC 下的 CKafka、COS、CLS 等其他云服务资源。
具体操作:使用主账号或具有管理权限的子账号新建策略,然后授权给子账号 cam:PassRole 权限。
策略内容
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:roleName/Oceanus_QCSRole"
}
]
}
说明
上述策略中 OwnerUin 指的是主账号的 账号 ID。 操作步骤
2. 在编辑策略页面,填入上文的策略(注意替换主账号的 UIN)。
3. 返回 策略 页面,搜索刚创建的策略,关联对应的子用户/用户组。 4. 选择需要授权的子用户,并单击确定。
注意:
至此,您刚配置好权限一和权限二的子用户可以正常的访问 Oceanus 产品以及在 Oceanus 产品内正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源。如您需要设置流计算 Oceanus 提供的对作业、资源更细粒度的权限管理,请参考Oceanus 空间角色权限。