tencent cloud

访问管理

产品简介
CAM 概述
产品功能
应用场景
基本概念
使用限制
用户类型
购买指南
快速入门
创建管理员用户
创建子账号并授权
子账号登录控制台
用户指南
概览
用户
访问密钥
用户组
角色
身份提供商
策略
权限边界
排除故障
下载安全分析报告
支持角色的业务
概览
计算
容器
微服务
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
数据库 SaaS 服务
网络
CDN与加速
网络安全
数据安全
应用安全
域名与网站
大数据
中间件
互动视频服务
实时互动
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
支持CAM的业务接口
概览
计算
边缘计算
容器
分布式云
微服务
Serverless
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
网络
CDN与加速
网络安全
终端安全
数据安全
业务安全
应用安全
域名与网站
办公协同
大数据
语音技术
图像创作
腾讯大模型
人工智能平台服务
自然语言处理
文字识别
中间件
通信服务
互动视频服务
实时互动
流媒体服务
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
教育服务
医疗服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
实践教程
安全实践教程
多身份人员权限管理
授予标签下部分操作权限
支持员工间资源隔离访问
企业多账号权限管理
查看员工腾讯云操作记录
使用 ABAC 管理员工资源访问权限
按标签鉴权时支持仅匹配标签键
商用案例
MySQL 相关案例
CLB 相关案例
CMQ 相关案例
COS 相关案例
CVM 相关案例
VPC 相关案例
云点播相关案例
其他案例
API 文档
History
Introduction
API Category
Making API Requests
User APIs
Policy APIs
Role APIs
Identity Provider APIs
Data Types
Error Codes
常见问题
角色相关问题
密钥相关问题
其他问题
CAM 用户与权限问题
词汇表
文档访问管理用户指南策略语法逻辑策略变量

策略变量

PDF
聚焦模式
字号
最后更新时间: 2024-01-23 17:54:33

使用场景

场景假设:您希望给每个 CAM 用户授予其创建资源的访问权限。例如,您想要设置 COS 资源的创建者默认拥有该资源的访问权限。 如果由资源拥有者(主账号)将资源逐个授权给资源创建者,授权成本很高,需要为每种资源都编写策略并授权给创建者。在这种情况下,您可以通过使用策略变量来实现您的需求。在策略的资源定义中增加占位符描述创建人的子账号 uin,该占位符即是策略变量。当鉴权时,策略变量将被替换为来自请求本身的上下文信息。
授予创建者资源访问权限的策略描述方式如下: 
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "cmqqueue:*",
            "resource": "qcs::cmqqueue::uin/1000001:queueName/uin/${uin}/*"
        }
    ]
}
策略变量在每个资源的路径中带上创建人的子账号 uin。如子账号uin 为 125000000 的子账号(对应主账号 uin 是1000001)创建了名为 queueName/uin/125000000 的成都地域 cmq 消息队列,则其对应的资源描述方式为 
qcs::cmqqueue:ap-chengdu:uin/1000001:queueName/uin/125000000
子账号 uin 为 125000000 的子账号访问该资源时,鉴权过程中会把对应的策略信息的占位符替换为访问者,即 
qcs::cmqqueue::uin/1000001:queueName/uin/125000000
策略中的资源 qcs::cmqqueue::uin/1000001:queueName/uin/125000000 可以通过前缀匹配访问资源 qcs::cmqqueue:ap-chengdu:uin/1000001:queueName/uin/125000000

策略变量的位置

资源元素位置 :策略变量可以用在 资源六段式 的最后一段。 条件元素位置 :策略变量可以用在条件值中。
以下策略表示 VPC 创建者拥有访问权限。
{  
        "version":"2.0", 
        "statement": [       
         { 
            "effect":"allow", 
            "action":"name/vpc:*", 
            "resource":"qcs::vpc::uin/12357:vpc/*",
            "condition":{"string_equal":{"qcs:create_uin":"${uin}"}} 
         }
      ]
}
说明:
对象存储 COS 的资源六段式为 qcs::cos:$region:uid/$appid:$bucketname-$appid/$ResourcesPath,其中 $ResourcesPath 为具体的资源路径,且 $ResourcesPath 中不能使用上述策略变量,完整的 COS 存储桶 Bucket 的资源六段式如下: qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/path_1/path_2/pic.jpeg

策略变量列表

目前支持的策略变量列表如下:
变量名
变量含义
${uin}
当前访问者的子账号 uin 。对于访问者是主账号的情况,它和主账号 uin 一致。
${owner_uin}
当前访问者所属的主账号 uin 。
${app_id}
当前访问者所属的主账号的 APPID 。
上一篇: 资源描述方式下一篇: 生效条件概述

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈