公告
CAM 访问控制
云直播通过 CAM 访问控制进行权限管理,以便于您管理账户的云直播域名、配置和数据信息。您可以创建、管理或销毁用户(组),将不同的接口权限授予子用户(组),以实现身份管理和策略控制。
当您使用 CAM 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。
基本概念
主账号:注册的腾讯云账号。
子用户:通过主账号创建,完全归属于主账号。
协作者:拥有主账号的身份,被添加为当前主账号的协作者,为当前主账号的子账号之一。
用户组:为相同职能的一类用户创建的组,可为其关联策略,便于统一批量授权管理。
说明:
操作步骤
步骤1:新建子用户/用户组
主账号可以创建一个或多个子用户,以为其分配特定的角色和策略。子用户有确定的身份 ID 和身份凭证,可登录控制台并完成设置,同时具有 API 访问权限。登录腾讯云控制台,进入 访问管理 页面,可新建用户,如下图所示:
步骤2:为用户/用户组添加策略
进入用户/用户组页面,选择需添加策略的用户/用户组。
单击左侧的用户 > 用户列表或用户组,选择需添加策略的用户/用户组,单击其右侧的授权,选中相应的直播策略,单击确定即可添加成功。
单击左侧的用户 > 用户列表或用户组,单击需添加策略的用户/用户组名称进入详情页。单击关联策略,选中相应的直播策略,单击确定即可添加成功。
单击左侧的策略,选择需添加的策略,单击操作列表中的关联用户/组,选中需授权的用户,单击确定即可添加成功。
可添加的策略
添加系统预设策略:通过左侧边栏进入策略页面,可查询当前所有的策略信息。
云直播系统预设策略为 QcloudLIVEFullAccess(全读写策略)和 QcloudLIVEReadOnlyAccess(只读策略)。
若需使用标签,需授权 QcloudTAGFullAccess (标签(TAG)全读写访问策略)。
若需使用实时日志,需授权 QcloudCamFullAccess (用户与权限(CAM)全读写访问权限策略)。
若需使用截图鉴黄,需授权QcloudAccessFoLVBRoleInSaveLiveScreenshottoCOS (该策略供云直播服务角色进行关联,用于云直播访问COS资源)。
添加自定义策略:进入策略页面,单击新建自定义策略,选择按策略生成器创建,详细请参见 自定义策略。
说明:
目前云直播部分接口已支持资源级授权。
操作示例:若需将 DescribeLiveDomains 查询域名列表 接口授权给子用户,且仅可用于指定域名,按照下述步骤配置。
1.1 新建允许访问此接口的域名级策略,进入策略生成器创建策略页面,填写各输入项:
配置项 | 是否必填 | 说明 |
效果 | 是 | 选择 允许 |
服务 | 是 | 选择 云直播 |
操作 | 是 | 选择 DescribeLiveDomains 查询域名列表 |
资源 | 是 | 选择全部资源或您要授权的特定资源 授权粒度为操作级、服务级的云产品不支持填写具体资源六段式,选择全部资源即可。 授权粒度为资源级的云产品,可选择特定资源,资源描述方式请参见支持 CAM 的产品中对应产品的访问管理指南文档。云产品支持的授权粒度请参见支持 CAM 的产品中的授权粒度。 |
条件 | 否 |
注意:
若要支持多个服务的手段,可单击添加权限,继续添加多个授权声明,对另外的服务进行授权策略配置。
1.2 单击下一步即可生成该策略。策略生成后,通过上述两种方法关联用户/用户组即可。
步骤3:子账号使用
使用子账号身份(主账号创建的子账号 ID 和密码),调用已授权的 API 接口(例如:“查询域名列表”等),可以获取相应的云直播信息(例如:该账号下的所有域名)。
文档反馈