tencent cloud

文档反馈

授权权限策略

最后更新时间:2023-06-01 11:26:48
    腾讯云账号(主账号)和子账号进行权限分割,按需为子账号赋予不同的权限,可以避免因暴露腾讯云账号密钥而造成的安全风险。

    给子账号授权权限策略

    背景信息

    企业 A 开通了腾讯云数据库 MongoDB 服务,需要自己的团队成员操作云数据库 MongoDB 服务所涉及的云上资源。出于安全或信任的考虑,企业 A 不希望将云账号密钥直接透露给团队成员,而希望能给团队成员创建相应的子账号。而子账号只能在主账号授权的前提下操作云上资源,且不需要对子账号进行独立的计量计费,所有开销都计入企业腾讯云账号下,随时也可以撤销或者删除子账号的操作权限。

    操作步骤

    步骤1:创建子账号用户

    您可以通过控制台或者 API 接口进行创建。
    登录腾讯云访问管理(CAM)控制台,进入 用户列表 页面创建。具体操作,请参见 新建子用户
    通过访问密钥调用 AddUser 接口添加子用户并设定权限。具体信息,请参见 添加子用户

    (可选)步骤2:创建自定义权限策略

    1. 在访问管理(CAM)控制台的 策略 页面,在右上角搜索框根据策略名称搜索策略。
    2. 如果策略不存在,您需要自定义权限策略。具体操作,请参见 创建自定义策略

    步骤3:给子账号用户授予权限策略

    在访问管理(CAM)控制台的 策略 页面,找到需关联的权限策略与子账户用户进行关联。具体操作,请参见 授权管理
    在访问管理(CAM)控制台的 用户列表 页面,找到需授权的子账户用户,给用户关联策略。具体操作,请参见 授权管理

    更多参考

    登录控制台

    您可以请团队成员使用子账号登录腾讯云控制台,访问云数据库 MongoDB。具体操作,请参见 子账号登录控制台

    修改子账号用户信息

    如果您需要查看并修改子账号的用户信息,请参见 用户信息

    删除子账号

    如果您想撤销或者删除子账号的操作权限,请参见 删除子用户

    跨云账号授权权限策略

    背景信息

    企业 A 开通了云数据库 MongoDB 的服务,希望企业 B 拥有其云数据库 MongoDB 的部分业务权限,例如,实例的读写权限、慢查询操作等。而企业 B 希望有一个子账号负责这部分业务。企业 A 可以授权企业 B 的主账号通过角色访问云数据库 MongoDB 的资源。角色的具体概念以及应用场景,请参见 角色概述

    操作步骤

    步骤1:企业 A 为企业 B 创建角色

    1. 登录腾讯云访问管理(CAM)控制台,进入 角色 页面。
    2. 单击新建角色,在选择角色载体对话框中,选择腾讯云账户
    3. 新建自定义角色配置向导页面,创建角色。 a. 在输入角色载体信息页面,选择云账号类型其他主账号,在账号ID输入企业B的主账号,其他参数可根据提示设置,单击下一步。 b. 在配置角色策略页面,选择需要授权该角色的策略,单击下一步。 c. 在审阅页面的角色名称输入框,设置角色名称,例如 DevOpsRole。并审阅所选择的策略,单击完成

    步骤2:企业B为子账号赋予扮演角色的权限

    1. 在访问管理(CAM)控制台的 策略 页面,单击新建自定义策略
    2. 选择创建策略方式对话框,选择按策略语法创建
    3. 按策略语法创建的配置向导中,创建策略。 a. 在选择模板类型区域,选择空白模板,单击下一步。 b. 在编辑策略页面,在策略名称输入框设置策略的名称。例如 sts:AssumeRole。 c. 在策略内容中,根据策略语法设置策略内容,单击完成。示例如下:
    {
    "version": "2.0",
    "statement": [
    {
    "effect": "allow",
    "action": ["name/sts:AssumeRole"],
    "resource": ["qcs::cam::uin/12345:RoleName/DevOpsRole"]
    }
    ]
    }
    4. 返回 策略 页面,找到创建的自定义策略,单击操作列的关联用户/组
    5. 给自定义策略关联企业B的子账户,单击确定

    步骤3:企业 B 使用子账号通过角色访问云资源

    1. 通过公司 B 的子账号登录控制台,在控制台头像下拉菜单中,选择切换角色
    2. 在切换角色页面,输入公司 A 的主账号,以及角色名称。即可切换为公司 A 的角色身份。

    更多参考

    如果您需要对角色进行修改,请参见 修改角色
    如果您需要删除角色,请参见 删除角色
    更多访问管理(CAM)的使用操作,请参见 用户指南
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持