tencent cloud

访问管理

产品简介
CAM 概述
产品功能
应用场景
基本概念
使用限制
用户类型
购买指南
快速入门
创建管理员用户
创建子账号并授权
子账号登录控制台
用户指南
概览
用户
访问密钥
用户组
角色
身份提供商
策略
权限边界
排除故障
下载安全分析报告
支持角色的业务
概览
计算
容器
微服务
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
数据库 SaaS 服务
网络
CDN与加速
网络安全
数据安全
应用安全
域名与网站
大数据
中间件
互动视频服务
实时互动
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
支持CAM的业务接口
概览
计算
边缘计算
容器
分布式云
微服务
Serverless
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
网络
CDN与加速
网络安全
终端安全
数据安全
业务安全
应用安全
域名与网站
办公协同
大数据
语音技术
图像创作
腾讯大模型
人工智能平台服务
自然语言处理
文字识别
中间件
通信服务
互动视频服务
实时互动
流媒体服务
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
教育服务
医疗服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
实践教程
安全实践教程
多身份人员权限管理
授予标签下部分操作权限
支持员工间资源隔离访问
企业多账号权限管理
查看员工腾讯云操作记录
使用 ABAC 管理员工资源访问权限
按标签鉴权时支持仅匹配标签键
商用案例
MySQL 相关案例
CLB 相关案例
CMQ 相关案例
COS 相关案例
CVM 相关案例
VPC 相关案例
云点播相关案例
其他案例
API 文档
History
Introduction
API Category
Making API Requests
User APIs
Policy APIs
Role APIs
Identity Provider APIs
Data Types
Error Codes
常见问题
角色相关问题
密钥相关问题
其他问题
CAM 用户与权限问题
词汇表
文档访问管理用户指南权限边界

权限边界

PDF
聚焦模式
字号
最后更新时间: 2024-01-23 17:57:37

概念

权限边界是腾讯云用于对子账号/角色设置权限边界的一种高级功能。当您设置子账号/角色的权限边界时,该子账号/角色只能执行子账号/角色关联策略和其权限边界同时允许的操作。权限边界仅限制子账号/角色拥有的最大权限范围,不能用于设置子账号/角色关联的权限,详细评估逻辑可参考下图:


使用场景

您可以使用预设策略或自定义策略为子账号/角色设置权限,该策略为子账号/角色的最大权限。本文档以一个典型案例让您轻松了解如何使用权限边界设置子账号的最大权限。 假设公司腾讯云资源管理员需要为运维员工设置权限,需满足以下需求:
公司有两个运维员工,分别拥有昵称为 test1、test2 的两个子账号。
拥有子账号 test1 的员工仅需要管理主账号下云数据库 MySQL 的所有权限。
拥有子账号 test2 的员工仅需要管理主账号下实例 ID 为 ins-1 的服务器操作权限。
公司规定所有子账号对于主账号下云服务器、 云数据库 MySQL 的相关的操作都必须在公司所在网段(10.217.182.3/24 或者 111.21.33.72/24 )操作。

操作步骤

子账号 test1 权限设置

1. 登录公司管理员账号,进入 用户列表页面
2. 在用户列表页面,找到昵称为 test1 的子账号,单击用户昵称进入用户详情页面。
3. 权限-权限策略操作栏,单击关联策略勾选 QcloudCDBFullAccess 策略 ,为子账号 test1 设置云数据库 MySQL 的所有权限。
4. 权限-权限边界操作栏,单击设置边界,进入设置权限边界页面。
5. 在设置权限边界页面,单击新建自定义策略,进入新建自定义策略页面。
6. 在新建自定策略页面,策略名称设置为「policygen-1」。
7. 在可视化策略生成器栏,勾选补充以下信息:
效果(Effect):选择「允许」。
服务(Service):选择「云数据库 MySQL」。
操作(Action):选择「全部操作」,单击确定
资源(Resource):默认为全部资源(*)。
条件(Condition):勾选来源 IP,补充IP值为「10.217.182.3/24,111.21.33.72/24」。
8. 单击创建,进入设置权限边界页面。
9. 在设置权限边界页面,策略列表操作栏下勾选创建的自定义策略。
10. 单击设置边界,完成为子账号 test1 权限设置。

子账号 test 2 权限设置

1. 登录公司管理员账号,参考以下策略语法创建策略名称为 policygen-2 的自定义策略语法,操作步骤可参阅按策略语法创建
{
 "version": "2.0",
 "statement": [
     {
         "effect": "allow",
         "resource": [
             "qcs::cvm:gz::instance/ins-1"
         ],
         "action": [
             "name/cvm:*"
         ]
     }
 ]
}
2. 用户列表页面,找到昵称为 test2 的子账号,单击用户昵称进入用户详情页面。
3. 权限-权限策略操作栏,单击关联策略勾选 policygen-2 策略 ,为子账号 test2 设置云服务器 ins-1 的操作权限。
4. 权限-权限边界操作栏,单击设置边界,进入设置权限边界页面。
5. 在设置权限边界页面,单击新建自定义策略,进入新建自定义策略页面。
6. 在新建自定策略页面,策略名称设置为「policygen-3」。
7. 在可视化策略生成器栏,勾选补充以下信息:
效果(Effect):选择「允许」。
服务(Service):选择「云服务器」。
操作(Action):选择「全部操作」,单击确定
资源(Resource):默认为全部资源(*)。
条件(Condition):勾选来源 IP,补充IP值为「10.217.182.3/24,111.21.33.72/24」。
8. 单击创建,进入设置权限边界页面。
9. 在设置权限边界页面,策略列表操作栏下勾选 policygen-3 策略。
10. 单击设置边界,完成为子账号 test2 权限设置。
上一篇: 策略分析器下一篇: 如何根据故障反馈创建策略

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈