如果您不需要对子账户进行凭据管理系统相关资源的访问控制,您可以跳过此章节,跳过此章节并不影响您对其他文档的理解和使用。
如果同时使用凭据管理系统、私有网络(VPC)、云服务器(CVM)、数据库等服务,且这些服务由不同人进行管理,但都共享同一个云账号密钥,将存在密钥由多人共享,泄密风险高等问题,且无法限制其它人访问权限,易产生误操作造成安全风险问题。
访问控制(CAM)用于管理腾讯云账号下资源访问权限,您可以通过 CAM 的身份管理和策略管理控制各子账号的资源操作权限。例如,您的主账号下有一个凭据,您只想让子账号 A 使用该凭据,而子账号 B 不能使用,就可以通过在 CAM 中配置策略,对子账号的权限进行控制。
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到多个(API、资源、用户、用户组、允许、拒绝、条件)维度。
账号
主账号:腾讯云资源归属及资源使用、计量、计费的基本主体,可登录腾讯云服务。
子账号:由主账号创建的账号,有确定的身份 ID 和身份凭证,且能登录到腾讯云控制台。主账号可以创建多个子账号(用户)。子账号默认不拥有资源,必须由所属主账号进行授权。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个凭据管理系统的凭据,云服务器实例,COS 存储桶,VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户或用户组完成授权。