产品简介

CAM 概述

产品功能

应用场景

基本概念

使用限制

用户类型

购买指南

快速入门

创建管理员用户

创建子账号并授权

子账号登录控制台

用户指南

概览

用户

访问密钥

用户组

角色

身份提供商

策略

权限边界

排除故障

下载安全分析报告

支持角色的业务

概览

计算

容器

微服务

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

数据库 SaaS 服务

网络

CDN与加速

网络安全

数据安全

应用安全

域名与网站

大数据

中间件

互动视频服务

实时互动

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

支持CAM的业务接口

概览

计算

边缘计算

容器

分布式云

微服务

Serverless

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

网络

CDN与加速

网络安全

终端安全

数据安全

业务安全

应用安全

域名与网站

办公协同

大数据

语音技术

图像创作

腾讯大模型

人工智能平台服务

自然语言处理

文字识别

中间件

通信服务

互动视频服务

实时互动

流媒体服务

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

教育服务

医疗服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

实践教程

安全实践教程

多身份人员权限管理

授予标签下部分操作权限

支持员工间资源隔离访问

企业多账号权限管理

查看员工腾讯云操作记录

使用 ABAC 管理员工资源访问权限

按标签鉴权时支持仅匹配标签键

商用案例

MySQL 相关案例

CLB 相关案例

CMQ 相关案例

COS 相关案例

CVM 相关案例

VPC 相关案例

云点播相关案例

其他案例

API 文档

History

Introduction

API Category

Making API Requests

User APIs

Policy APIs

Role APIs

Identity Provider APIs

Data Types

Error Codes

常见问题

角色相关问题

密钥相关问题

其他问题

CAM 用户与权限问题

词汇表

评估逻辑

PDF

聚焦模式

字号

最后更新时间： 2026-01-26 15:26:29

腾讯云用户访问云资源时， CAM 通过以下评估逻辑决定允许或拒绝。
﻿
﻿
1. 默认情况下，所有请求都将被拒绝。
2. CAM 会检查当前用户关联的所有策略。
2.1 判断是否匹配策略，是则进行下一步判断；否则最终判断为 deny ，不允许访问云资源。
2.2 判断是否有匹配 deny 策略，是则最终判定为 deny ，不允许访问云资源；否则进行下一步判断。
2.3 判断是否有匹配 allow 策略，是则最终判断为 allow ，允许访问云资源；否则最终判定为 deny，不允许访问云资源。
注意：
对于主账号，默认拥有其名下所有资源的访问权限；且目前仅 COS/CAS 产品支持跨账号的资源访问。
有些通用策略，会默认关联所有 CAM 用户。具体请见下文的 通用策略表。
其他策略都必须显式指定，包括 allow 和 deny 策略。
对于支持跨账号资源访问的业务，存在权限传递的场景，即主账号 A 授权主账号 B 下的某个子账号对其资源的访问权限。这个时候 CAM 会同时校验 A 是否授权给 B 该权限以及 B 是否授权给子账号该权限，两者同时满足的前提下， B 的子账号才有权访问 A 的资源。
﻿目前支持的
通用策略表如下：
策略说明
策略定义
查询密钥需要 MFA 验证
{
"principal":"",
"action":"account:QueryKeyBySecretId",
"resource":"",
"condition":{"string_equal":{"mfa":"0"}}
}
设置敏感操作需要 MFA 验证
{
"principal":"",
"action":"account:SetSafeAuthFlag",
"resource":"",
"condition":{"string_equal":{"mfa":"0"}}
}
绑定 token 需要 MFA 验证
{
"principal":"",
"action":"account:BindToken",
"resource":"",
"condition":{"string_equal":{"mfa":"0"}}
}
解绑 token 需要 MFA 验证
{
"principal":"",
"action":"account:UnbindToken",
"resource":"",
condition":{"string_equal":{"mfa":"0"}}
}
修改邮箱需要 MFA 验证
{
"principal":"",
"action":"account:ModifyMail",
"resource":"",
"condition":{"string_equal":{"mfa":"0"}}
}
修改手机号需要 MFA 验证
{
"principal":"",
"action":"account:ModifyPhoneNum",
"resource":"",
"condition":{"string_equal":{"mfa":"0"}}
}
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

访问管理

评估逻辑

帮助和支持

策略说明	策略定义
查询密钥需要 MFA 验证	{ "principal":"", "action":"account:QueryKeyBySecretId", "resource":"", "condition":{"string_equal":{"mfa":"0"}} }
设置敏感操作需要 MFA 验证	{ "principal":"", "action":"account:SetSafeAuthFlag", "resource":"", "condition":{"string_equal":{"mfa":"0"}} }
绑定 token 需要 MFA 验证	{ "principal":"", "action":"account:BindToken", "resource":"", "condition":{"string_equal":{"mfa":"0"}} }
解绑 token 需要 MFA 验证	{ "principal":"", "action":"account:UnbindToken", "resource":"", condition":{"string_equal":{"mfa":"0"}} }
修改邮箱需要 MFA 验证	{ "principal":"", "action":"account:ModifyMail", "resource":"", "condition":{"string_equal":{"mfa":"0"}} }
修改手机号需要 MFA 验证	{ "principal":"", "action":"account:ModifyPhoneNum", "resource":"", "condition":{"string_equal":{"mfa":"0"}} }