主账号默认拥有所有权限,不需要授权
您可以通过 策略生成器创建 创建一条自定义策略,勾选您需要的产品及操作。通过 策略关联用户 即可。关联成功后,您的子账号将在您设置的权限范围内管理主账号下的资源。
使用子账号身份购买的资源,资源归属于所属主账号。
子用户修改密码请参阅 为子用户重置登录密码,协作者修改密码请参阅 修改账号密码。
使用子账号身份产生的费用,从所属主账号余额扣除。
目前有不少产品是灰度期间,个别产品暂不支持 CAM 管理。您可以查看 支持 CAM 的产品 来确定是否能够在 CAM 里以及何种粒度对产品服务权限进行管理。
如需要对处于灰度期的产品使用 CAM 进行管理,请通过 提交工单 进行操作。
您可以通过基于 标签 的方式对项目内资源进行精细化的权限管理。
您好,云产品只读策略(ReadOnlyAccess)仅包含授权粒度为操作级或资源级云产品的读接口,如果您访问服务级云产品或操作级/资源级云产品的写接口就会出现无权限提示。云产品的授权粒度请参阅 支持 CAM 的产品。
以下示例介绍如何授予子账号查看有限的资源列表权限。详细信息:
企业账号 CompanyExample(ownerUin 为 12345678)下有一个子账号 Developer,要求该子账号在控制台仅能查看企业账号 CompanyExample 的部分资源。
以 CVM 云服务器实例为例,授予子账号仅能在控制台查看 gz 地域 ID 为 ins-xxx1 和 ins-xxx2 的云服务器实例:
{
"version": "2.0",
"statement": [
{
"action": [
"cvm:DescribeInstances"
],
"resource": ["qcs::cvm:gz::instance/ins-xxx1",
"qcs::cvm:gz::instance/ins-xxx2"
],
"effect": "allow"
}
]
}
也可以根据需要设置更高的权限,如全读写权限。若需要拥有广州地域所有云服务器实例的全读写权限,可以将策略语法写成如下形式:
{
"version": "2.0",
"statement": [
{
"action": [
"cvm:*"
],
"resource": "qcs::cvm:gz::*",
"effect": "allow"
}
]
}
目前,支持 只读操作这种资源粒度权限控制的产品有:云服务器 CVM,云数据库 TencentDB for MySQL,容器服务 TKE。
对于其他产品,暂不支持对具体资源授权只读权限,只能授予子账号查看所有资源的权限,或无法查看所有资源。
服务名称 | 限制 IP 访问 |
---|---|
黑石物理服务器 | ✔ |
容器服务 - 持续集成 | ✔ |
容器服务 - 集群 | ✔ |
负载均衡 | ✔ |
对象存储 | ✔ |
大禹网络安全 - BGP 高防 IP | ✔ |
本页内容是否解决了您的问题?