产品简介

CAM 概述

产品功能

应用场景

基本概念

使用限制

用户类型

购买指南

快速入门

创建管理员用户

创建子账号并授权

子账号登录控制台

用户指南

概览

用户

访问密钥

用户组

角色

身份提供商

策略

权限边界

排除故障

下载安全分析报告

支持角色的业务

概览

计算

容器

微服务

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

数据库 SaaS 服务

网络

CDN与加速

网络安全

数据安全

应用安全

域名与网站

大数据

中间件

互动视频服务

实时互动

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

支持CAM的业务接口

概览

计算

边缘计算

容器

分布式云

微服务

Serverless

基础存储服务

数据处理与分析

数据迁移

关系型数据库

企业级分布式数据库

NoSQL 数据库

数据库 SaaS 工具

网络

CDN与加速

网络安全

终端安全

数据安全

业务安全

应用安全

域名与网站

办公协同

大数据

语音技术

图像创作

腾讯大模型

人工智能平台服务

自然语言处理

文字识别

中间件

通信服务

互动视频服务

实时互动

流媒体服务

媒体点播

媒体处理服务

媒体处理

实时云渲染

游戏服务

教育服务

医疗服务

云资源管理

管理与审计

开发者工具

监控与运维

其他文档

实践教程

安全实践教程

多身份人员权限管理

授予标签下部分操作权限

支持员工间资源隔离访问

企业多账号权限管理

查看员工腾讯云操作记录

使用 ABAC 管理员工资源访问权限

按标签鉴权时支持仅匹配标签键

商用案例

MySQL 相关案例

CLB 相关案例

CMQ 相关案例

COS 相关案例

CVM 相关案例

VPC 相关案例

云点播相关案例

其他案例

API 文档

History

Introduction

API Category

Making API Requests

User APIs

Policy APIs

Role APIs

Identity Provider APIs

Data Types

Error Codes

常见问题

角色相关问题

密钥相关问题

其他问题

CAM 用户与权限问题

词汇表

按照资源 ID 授权

PDF

聚焦模式

字号

最后更新时间： 2025-09-11 14:51:06

操作场景
该任务指导您按照资源 ID 授权，实现子用户 cvmtest01 只能管理 ins-duglsqg0。
查看详细操作场景 >>
策略内容
按照资源 ID 授权，最终实现上述预期结果时，对应的策略内容如下：
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cvm:*"
            ],
            "resource": [
                "qcs::cvm::uin/12345678:instance/ins-duglsqg0",//12345678为主账号UIN
                "qcs::cvm::uin/12345678:image/img-eb30mz89"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "vpc:DescribeVpcEx",
                "vpc:DescribeNetworkInterfaces",
                "cvm:DescribeCbsStorages"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}
操作步骤
步骤1：使用管理员账号创建策略并授权
1. 使用管理员账号登录访问管理控制台，在 策略 页面，按照策略生成器创建自定义策略（参考 创建自定义策略 - 按策略生成器创建）。
 
﻿
﻿
效果：允许
服务：云服务器 cvm
操作：全部操作
资源：特定资源 - 添加自定义资源六段式
分别填写：资源前缀：instance 和资源 ID：ins-duglsqg0，以及资源前缀：image 和资源 ID：img-eb30mz89
说明：
如何确定资源的前缀：在云服务器支持 CAM 的接口中有云服务器对应的资源六段式。
云服务器产品页面除了调用 CVM 相关接口外，还会使用 VPC 等接口，这时我们可以先跳过，继续生成策略，在实际操作的时候按照 CAM 的提示添加相关接口。
2. 单击下一步，指定策略的名称为 cvm-test01，并将策略授予子账号 cvmtest01。
3. 单击完成，完成授权。
﻿
﻿
步骤2：使用子账号登录验证权限
1. 使用子用户登录 云服务器控制台，进入实例列表页面。此时 CVM 页面会提示缺少 VPC 产品 DescribeVpcEx 以及对应资源的权限。
2. 根据页面提示内容，联系管理员账号在策略中添加对应授权。
步骤3：使用管理员账号调整策略内容
1. 使用主账号在VPC 支持 CAM 的接口清单中，找到 DescribeVpcEx 确定接口为操作级的接口。
2. 在访问管理控制台的 策略 页面，找到策略 cvm-test01，单击策略名进入策略详情。
3. 在策略语法中单击编辑，按照操作级接口的授权书写形式在策略详情中添加接口授权。
﻿
﻿
添加之前：
﻿
﻿
﻿
添加之后：
﻿
﻿
﻿
4. 添加之后重复 步骤2，使用子账号 cvmtest01 再次验证，发现仍有异常，缺少 VPC 下 DescribeNetworkInterfaces 以及对应资源的访问权限，查看私有网络支持 CAM 的接口确定 DescribeNetworkInterfaces 为操作级的接口。 
5. 按照 步骤3 继续调整策略内容，直至系统没有报错。
6. 最终策略的内容如下：
﻿
﻿
﻿
说明：
在书写 CAM 策略时，在需要操作具体资源时，资源级的接口授权需要和操作级分开书写，多个操作级接口可以书写在一起。
步骤4：验证结果
使用子用户 cvmtest01 再次验证，达到预期效果。
至此，子用户 cvmtest01 可以对实例进行开关机、重启、更名、重置密码等操作。
﻿
﻿