tencent cloud

对象存储

动态与公告
产品动态
产品公告
产品简介
产品概述
功能概览
应用场景
产品优势
基本概念
地域和访问域名
规格与限制
产品计费
计费概述
计费方式
计费项
免费额度
计费示例
查看和下载账单
欠费说明
常见问题
快速入门
控制台快速入门
COSBrowser 快速入门
用户指南
创建请求
存储桶
对象
数据管理
批量处理
全球加速
监控与告警
运维中心
数据处理
内容审核
智能工具箱
数据工作流
应用集成
工具指南
工具概览
环境安装与配置
COSBrowser 工具
COSCLI 工具
COSCMD 工具
COS Migration 工具
FTP Server 工具
Hadoop 工具
COSDistCp 工具
HDFS TO COS 工具
GooseFS-Lite 工具
在线辅助工具
自助诊断工具
实践教程
概览
访问控制与权限管理
性能优化
使用 AWS S3 SDK 访问 COS
数据容灾备份
域名管理实践
图片处理实践
COS 音视频播放器实践
工作流实践
数据直传
内容审核实践
数据安全
数据校验
大数据实践
COS 成本优化解决方案
在第三方应用中使用 COS
迁移指南
本地数据迁移至 COS
第三方云存储数据迁移至 COS
以 URL 作为源地址的数据迁移至 COS
COS 之间数据迁移
Hadoop 文件系统与 COS 之间的数据迁移
数据湖存储
云原生数据湖
元数据加速
数据加速器 GooseFS
数据处理
数据处理概述
图片处理
媒体处理
内容审核
文件处理
文档处理
故障处理
获取 RequestId 操作指引
通过外网上传文件至 COS 缓慢
访问 COS 时返回403错误码
资源访问异常
POST Object 常见异常
API 文档
简介
公共请求头部
公共响应头部
错误码
请求签名
操作列表
Service 接口
Bucket 接口
Object 接口
批量处理接口
数据处理接口
任务与工作流
内容审核接口
云查毒接口
SDK 文档
SDK 概览
准备工作
Android SDK
C SDK
C++ SDK
.NET(C#) SDK
Flutter SDK
Go SDK
iOS SDK
Java SDK
JavaScript SDK
Node.js SDK
PHP SDK
Python SDK
React Native SDK
小程序 SDK
错误码
鸿蒙(Harmony) SDK
终端 SDK 质量优化
安全与合规
数据容灾
数据安全
访问管理
常见问题
热门问题
一般性问题
计费计量问题
域名合规问题
存储桶配置问题
域名和 CDN 问题
文件操作问题
日志监控问题
权限管理问题
数据处理问题
数据安全问题
预签名 URL 问题
SDK 类问题
工具类问题
API 类问题
服务协议
Service Level Agreement
隐私政策
数据处理和安全协议
联系我们
词汇表
文档对象存储实践教程访问控制与权限管理访问管理实践

访问管理实践

PDF
聚焦模式
字号
最后更新时间: 2024-01-06 10:47:50

访问管理概述

访问管理(Cloud Access Management,CAM)是腾讯云提供的一种身份验证和授权服务,主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。在授予权限时,可以对授权的对象、资源、操作进行管理,并支持设置一些策略限制。

功能

主账号资源的授权

可以将主账号的资源授权给其他人员,包括子账号或者是其它主账号,而不需要分享主账号相关的身份凭证。

精细化的权限管理

可以针对不同的资源为不同的人员授予不同的访问权限。例如,可以允许某些子账号拥有某个对象存储(Cloud Object Storage,COS)存储桶的读权限,而另外一些子账号或者主账号可以拥有某个 COS 存储对象的写权限等。上述资源、访问权限和用户都可以批量打包。

最终一致性

CAM 目前支持腾讯云的多个地域,通过复制策略数据,实现在跨地域的数据同步,虽然 CAM 策略的修改会及时提交,不过跨地域的策略同步会导致策略生效的延迟,同时 CAM 使用缓存来提高性能(目前是一分钟缓存),更新需要在缓存过期后生效。

应用场景

企业子账号权限管理
企业内不同岗位的员工需要拥有该企业云资源的最小化访问权限。例如,某个企业拥有很多云资源,包括 CVM 、 VPC 实例、 CDN 实例、 COS 存储桶和对象等。该企业拥有很多员工,包括开发人员、测试人员、运维人员等。 部分开发人员需要拥有其所在项目相关的开发机云资源的读写权限,测试人员需要拥有其所在项目的测试机云资源的读写权限,运维人员负责机器的购买和日常运营。当企业员工职责或参与项目发生变更,将终止对应的权限。
不同企业之间的权限管理
不同企业间需要进行云资源的共享。例如,某企业拥有很多云资源,该企业希望能专注产品研发,而将云资源运维工作授权给其他运营企业来实施。当运营企业的合同终止时,将收回对应的管理权限。

策略语法

策略(policy)由若干元素构成,用来描述授权的具体信息。核心元素包括委托人(principal)、操作(action)、资源(resource)、生效条件(condition)以及效力(effect)。如需了解更多详情,请参见 访问策略语言概述
说明
策略语法在描述上没有顺序要求。操作(action)元素需区分英文大小写。
对于策略没有特定条件约束的情况, condition 元素是可选项。
在控制台中不允许写入 principal 元素,仅支持在策略管理 API 中和策略语法相关的参数中使用 principal。

核心元素

核心元素
描述
是否必填
版本 version
描述策略语法版本。目前仅允许值为2.0
委托人 principal
用于描述策略授权的实体。包括用户(开发商、子账号、匿名用户)、用户组
仅支持在策略管理 API 中策略语法相关的参数中使用该元素
语句 statement
用于描述一条或多条权限的详细信息。该元素包括 action 、 resource 、 condition 、 effect 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素
操作 action
用于描述允许或拒绝的操作。操作可以是单个 API 操作或者多个 API 操作的集合。操作(action)元素需区分英文大小写,例如 action 为 name/cos:GetService
资源 resource
用于描述授权的具体数据。资源用六段式描述。每款产品的资源定义详情会有所区别。有关如何指定资源的信息,请参阅您编写的资源声明所对应的产品文档
生效条件 condition
用于描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。条件值可包括时间、IP 地址等信息。有些服务允许您在条件中指定其他值
效力 effect
用于描述声明产生的结果,包括 allow(允许)和 deny(显式拒绝)两种情况

策略限制

限制项
限制值
一个主账号中的用户组数
300
一个主账号中的子账号数
1000
一个主账号中的角色数
1000
一个子账号可加入的用户组数
10
一个协作者可协作的主账号数
10
一个用户组中的子账号数
100
一个主账号可创建的自定义策略数
1500
直接关联到一个用户、用户组或角色的策略数
200
一个策略语法最大字符数
4096

策略示例

以下策略示例描述为:允许属于主账号 ID 为100000000001(APPID 为1250000000)下的子账号 ID 100000000011, 对北京地域的存储桶 examplebucket-bj 和广州地域的存储桶 examplebucket-gz 下的对象 exampleobject,在访问 IP 为10.*.*.10/24网段时,拥有上传对象下载对象的权限。
{
            "version": "2.0",
            "principal": {
                "qcs": ["qcs::cam::uin/100000000001:uin/100000000011"]
            },
            "statement": [{
                "effect": "allow",
                "action": ["name/cos:PutObject", "name/cos:GetObject"],
                "resource": ["qcs::cos:ap-beijing:uid/1250000000:examplebucket-bj-1250000000/*",
                    "qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-gz-1250000000/exampleobject"
                ],
                "condition": {
                    "ip_equal": {
                        "qcs:ip": "10.*.*.10/24"
                    }
                }
            }]
}
上一篇: ACL 访问控制实践下一篇: 授权子账号访问 COS

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈