tencent cloud

弹性微服务

动态与公告
公告
产品动态
产品简介
产品概述
产品优势
应用场景
购买指南
计费概述
产品定价
欠费与停服说明
快速入门
步骤1:获取访问权限
步骤2:创建环境
步骤3:创建应用
步骤4:部署应用
操作指南
环境管理
应用管理
权限管理
查看变更记录
实践教程
Github Actions 在 TEM 中的使用
托管静态网站
弹性微服务应用访问公网(通过 NAT 网关)
弹性微服务应用访问公网(通过 API 网关)
弹性微服务应用运行失败故障排查指南
使用 API 网关快速访问 TEM 应用
Java 应用调优实践教程
Java 8 迁移至 Java 11 实践教程
API 文档
History
Introduction
API Category
Making API Requests
Environment APIs
ModifyIngress
Resource APIs
Application APIs
Service APIs
RollingUpdateApplicationByVersion
Access Policy APIs
Configuration file APIs
Log collecting APIs
Scaling Rule APIs
Application Version APIs
Other APIs
Workload APIs
Data Types
Error Codes
常见问题
弹性微服务配置
联系我们
词汇表
TEM 政策
隐私政策
数据处理和安全协议
文档 弹性微服务快速入门步骤1:获取访问权限子账号获取访问权限

子账号获取访问权限

PDF
聚焦模式
字号
最后更新时间: 2024-01-09 12:00:35

CAM 基本概念

主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。

用户类型

主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户、企业微信子用户、协作者和消息接收人。
关于主账号和子账号的详细定义及功能说明请参考 访问管理 - 用户类型

资源与权限

资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。

子账号使用弹性微服务

协作者与子账号使用弹性微服务时,需要对三方面进行授权:
1. 要将角色(及其许可策略)传递至弹性微服务服务,用户必须具有传递角色至服务的许可,即创建 PassRole 策略。详细操作参考 授予 PassRole 策略
2. 使用弹性微服务的权限,您可以通过授予子账号 QcloudTEMFullAccess 策略给予子账号使用弹性微服务的全量权限或者QcloudTEMReadOnlyAccess策略给予子账户只读权限。详细操作参考 [授予使用弹性微服务平台的权限](#授予使用 TEM 平台的权限)。
3. 使用 弹性微服务过程中,涉及到对其他产品的调用,需要主账号对子账号进行授权。详细说明参考 授予访问其他云产品权限

授予 PassRole 策略

步骤1:新建策略

2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 单击新建自定义策略
4. 在选择创建策略方式的弹出框中,单击按策略语法创建,进入按策略语法创建页。
5. 按策略语法创建页 中,选择空白模板,并单击下一步
6. 填写策略名和内容,并单击创建策略。使用主账号或具有管理权限的子账号创建如下两个自定义策略,策略语法如下:
访问除了 CLS 外其他云产品资源:
{
     "version": "2.0",
     "statement": {
             "effect": "allow",
             "action": "cam:PassRole",
             "resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInAccessCluster"
     }
}
访问 CLS 云产品资源:
{
     "version": "2.0",
     "statement": {
             "effect": "allow",
             "action": "cam:PassRole",
             "resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInTEMLog"
     }
}
其中 ${OwnerUin} 为主账号 ID,从控制台 账号信息 页面获取。

步骤2:将策略绑定到用户

1. 在左侧导航栏,单击用户 > 用户列表,进入用户管理页面。
2. 选择要授予 TEM 使用权限的用户,单击操作列的授权
3. 从策略列表中筛选出步骤一中的创建的策略。
4. 单击确定,绑定策略。该策略会显示在用户的策略列表中。

授予使用 TEM 平台的权限[](id:授予使用 TEM 平台的权限)

全读写策略

授权一个子用户以 TEM 服务的完全管理权限(创建、管理等全部操作)。
{
    "version": "2.0",
    "statement": [
        {
            "action": "tem:*",
            "resource": "*",
            "effect": "allow"
        }
    ]
}
您也可以通过设置系统的 全读写策略 支持。
1. 登录 访问管理控制台
2. 在左侧菜单栏中,单击策略
3. 在策略列表中,单击新建自定义策略
4. 在选择创建策略方式的弹窗中,选择按策略语法创建
5. 在模板类型中,搜索“tem”,选择弹性微服务全读写访问权限 QcloudTEMFullAccess,单击下一步
6. 单击完成
后续操作:将创建好的策略绑定到目标用户。

只读策略

授权一个子用户以弹性微服务的只读权限。
{
    "version": "2.0",
    "statement": [
        {
            "action": [
                "tem:Describe*"
            ],
            "resource": "*",
            "effect": "allow"
        }
    ]
}
您也可以通过设置系统的 只读策略 支持。
1. 登录 访问管理控制台
2. 在左侧菜单栏中,单击策略
3. 在策略列表中,单击新建自定义策略
4. 在选择创建策略方式的弹窗中,选择按策略语法创建
5. 在模板类型中,搜索“tem”,选择弹性微服务只读访问策略 QcloudTEMReadOnlyAccess,单击下一步
6. 单击创建策略

授予访问其他云产品权限

弹性微服务平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应弹性微服务产品功能的使用。
授权示例如下:
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cam:DescribeRoleList",
                "cvm:DescribeSecurityGroups",
                "vpc:DescribeVpcEx",
                "vpc:DescribeSubnetEx",
                "tse:DescribeSREInstances",
                "cls:DescribeLogsets",
                "cls:DescribeTopics",
                "cfs:DescribeCfsFileSystems",
                "ssl:DescribeCertificate",
                "tcr:DescribeRepositoryOwnerPersonal",
                "tcr:DescribeRepositories",
                "tcr:DescribeInstances",
                "tcr:DescribeInternalEndpoints",
                "tcr:CreateInstanceToken"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

上一篇: 主账号获取访问权限下一篇: 步骤2:创建环境

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈