tencent cloud

文档反馈

访问管理

最后更新时间:2024-11-04 09:09:04

    基本信息

    CAM中产品名 CAM中简称 控制台访问 按标签授权 授权粒度 IP限制
    访问管理 cam 支持 不支持 操作级 部分支持

    Note:

    云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。

    • 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
    • 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
    • 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。

    接口授权粒度

    接口授权粒度分为资源级和操作级两个级别:

    • 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
    • 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。

    写操作

    接口名 接口描述 授权粒度 资源六段式 IP限制
    AddCollaborator 创建协作者 操作级 * 支持
    AddSubAccount 控制台创建消息接收人 操作级 * 支持
    AddSubAccountCheckingMFA 控制台创建子用户和协作者 操作级 * 支持
    AddSubAccountsToGroup 用户加入到用户组 操作级 * 支持
    AddUser 添加子用户 操作级 * 支持
    AddUserToGroup 用户加入用户组 操作级 * 支持
    AttachGroupPolicies 绑定多个策略到用户组 操作级 * 支持
    AttachGroupPolicy 绑定策略到用户组 操作级 * 支持
    AttachGroupsPolicy 绑定策略到多个用户组 操作级 * 支持
    AttachRolePolicy 绑定策略到角色 操作级 * 支持
    AttachUserPolicies 绑定多个策略到用户 操作级 * 支持
    AttachUserPolicy 绑定策略到用户 操作级 * 支持
    AttachUsersPolicy 绑定策略到多个用户 操作级 * 支持
    BatchOperateCamStrategy 用户详情页绑定策略 操作级 * 支持
    BindToken 绑定Token卡 操作级 * 支持
    CreateAccessKey 创建访问密钥 资源级 qcs::cam::uin/${uin}:uin/${uin} 支持
    CreateApiKey 创建密钥 资源级 qcs::cam::uin/${uin}:uin/${ApiUin} 支持
    CreateAssistApprover 创建协助审批人 操作级 * 支持
    CreateCICUserSAMLConfig 创建CIC用户SAML SSO身份提供商 操作级 * 支持
    CreateCollApiKey 创建子账号密钥 操作级 * 支持
    CreateGroup 创建用户组 操作级 * 支持
    CreateMessageReceiver 创建消息接收人 操作级 * 支持
    CreateOIDCConfig 创建角色OIDC配置 操作级 * 支持
    CreatePolicy 创建策略 操作级 * 支持
    CreatePolicyVersion CreatePolicyVersion 操作级 * 支持
    CreateRole 创建角色 操作级 * 支持
    CreateRoleByConsole 控制台创建角色 操作级 * 支持
    CreateSAMLProvider 创建SAML身份提供商 操作级 * 支持
    CreateServiceLinkedRole 创建服务相关角色 操作级 * 支持
    CreateSimulationPolicy 新增模拟授权数据 操作级 * 支持
    CreateSubAccountBindPolicy 创建子账号绑定限制 操作级 * 支持
    CreateSubAccountLoginIpPolicy 创建子账号登录IP策略 操作级 * 支持
    CreateSubAccounts 创建企业微信子用户 操作级 * 支持
    CreateUserOIDCConfig 创建用户OIDC配置 操作级 * 支持
    CreateUserSAMLConfig 创建用户SAML配置 操作级 * 支持
    DeleteAccessKey 删除访问密钥 资源级 qcs::cam::uin/${uin}:uin/${uin} 支持
    DeleteApiKey 删除API密钥 操作级 * 支持
    DeleteCollApiKey 删除子账号密钥 操作级 * 支持
    DeleteEntitiesPermissionsBoundary 删除实体权限边界 操作级 * 支持
    DeleteGroup 删除用户组 操作级 * 支持
    DeleteMessageReceiver 删除消息接受人 操作级 * 支持
    DeleteOIDCConfig 删除OIDC身份提供商 操作级 * 支持
    DeletePolicy 删除策略 操作级 * 支持
    DeletePolicyVersion DeletePolicyVersion 操作级 * 支持
    DeleteRole 删除角色 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/{$RoleId}
    支持
    DeleteRolePermissionsBoundary 删除角色权限边界 操作级 * 支持
    DeleteSAMLProvider 删除SAML身份提供商 操作级 * 支持
    DeleteServiceLinkedRole 删除服务相关角色 资源级 qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/{$RoleId}
    支持
    DeleteSubAccount 删除子账号 操作级 * 支持
    DeleteUser 删除子用户 操作级 * 支持
    DeleteUserPermissionsBoundary 删除用户权限边界 操作级 * 支持
    DetachGroupPolicy 解绑策略到用户组 操作级 * 支持
    DetachRolePolicy 解绑策略到角色 操作级 * 支持
    DetachUserPolicies 详情页解绑策略 操作级 * 支持
    DetachUserPolicy 解绑策略到用户 操作级 * 支持
    DisableApiKey 禁用API密钥 操作级 * 支持
    DisableCollApiKey 禁用子账号密钥 操作级 * 支持
    DisableUserSSO 禁用用户SSO 操作级 * 支持
    EnableApiKey 启用API密钥 操作级 * 支持
    EnableCollApiKey 启用子账号密钥 操作级 * 支持
    GenerateSafetyAnalysisReport 生成安全分析报告 操作级 * 支持
    LogoutRoleSessions 移出角色登录态 操作级 * 支持
    ModifySubContactEmailWithVerifyCode 子账号修改联系邮箱 操作级 * 支持
    ModifySubContactPhoneWithVerifyCode 子用户修改联系手机 操作级 * 支持
    ModifyUserContactInfo 修改子用户联系方式 操作级 * 支持
    PassRole 传递角色 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    PutEntitiesPermissionsBoundary 设置实体权限边界 操作级 * 支持
    PutRolePermissionsBoundary 设置角色权限边界 操作级 * 支持
    PutUserPermissionsBoundary 设置用户权限边界 操作级 * 支持
    RemoveUserFromGroup 从用户组删除用户 操作级 * 支持
    SetDefaultPolicyVersion SetDefaultPolicyVersion 操作级 * 支持
    SetLoginSessionDuration 设置登录时长 操作级 * 支持
    SetMfaFlag 设置子用户的登录保护和敏感操作校验方式 操作级 * 支持
    SetSafeAuthFlag 设置安全保护 操作级 * 支持
    SetSubAccountDefaultMFASettingV2 设置子账号默认MFA设置V2 操作级 * 不支持
    SetSubAccountSessionLifetime 设置子账号登录会话过期时间 操作级 * 支持
    SyncAuthInfo 同步实名信息 操作级 * 支持
    TagRole 角色绑定标签 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    UnbindContactInfo 解绑联系方式 资源级 qcs::cam::uin/${uin}:uin/${uin}
    qcs::cam::uin/${uin}:userName/${userName}
    支持
    UnbindSubAccount 解绑子用户登录方式 操作级 * 支持
    UnbindSubAccountStoken 解绑SToken卡 操作级 * 支持
    UnbindSubAccountToken 解绑Token卡 操作级 * 支持
    UnbindSubAccountU2FToken 解绑子账号U2F Token卡 操作级 * 支持
    UnbindToken 解绑Token卡 操作级 * 支持
    UnbindU2FToken 解绑主账号U2F 操作级 * 支持
    UntagRole 角色解绑标签。 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    UpdateAccessKey 更新访问密钥 资源级 qcs::cam::uin/${uin}:uin/${uin} 支持
    UpdateAccessKeyAttribute 更新密钥信息 资源级 qcs::cam::uin/${uin}:uin/${uin} 支持
    UpdateAssumeRolePolicy 更新角色信任策略 资源级 qcs::cam::uin/${uin}:roleName/${roleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${roleId}
    qcs::cam::uin/${uin}:role/${roleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${roleName}
    支持
    UpdateCollPassword 子账号修改密码 操作级 * 支持
    UpdateGroup 更新用户组 操作级 * 支持
    UpdateOIDCConfig 修改角色OIDC配置 操作级 * 支持
    UpdatePasswordRules 更新CAM密码设置规则 操作级 * 支持
    UpdatePolicy 更新策略 操作级 * 支持
    UpdateRoleConsoleLogin 修改角色是否可登录 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    UpdateRoleDescription 更新角色备注 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    UpdateSAMLProvider 更新SAML身份提供商信息 操作级 * 支持
    UpdateSubAccount 修改子账号 操作级 * 支持
    UpdateSubAccountAttr 更新子账号属性 操作级 * 支持
    UpdateUser 更新子用户 操作级 * 支持
    UpdateUserOIDCConfig 修改用户OIDC配置 操作级 * 支持
    UpdateUserSAMLConfig 修改用户SAML配置 操作级 * 支持

    其他操作

    接口名 接口描述 授权粒度 资源六段式 IP限制
    BuildDataFlowAuthToken 获取数据流认证Token 资源级 qcs::cam:${ResourceRegion}:uin/:resourceUser/${ResourceId}/${ResourceAccount} 支持

    读操作

    接口名 接口描述 授权粒度 资源六段式 IP限制
    CheckGroupNameIsValid 检测用户组名字是否合法 操作级 * 支持
    CheckSubAccountName 检查子用户名称 操作级 * 支持
    CheckUserPolicyAttachment 查询用户是否关联策略 操作级 * 支持
    ConsumeCustomMFAToken 验证自定义多因子Token 操作级 * 支持
    DescribeAssistApprover 查询协助审批人 操作级 * 支持
    DescribeContactInfoModifyStatus 查询联系方式修改状态 操作级 * 支持
    DescribeMFADeviceColl 查询mfa设备 操作级 * 支持
    DescribeMessageReceiverList 消息接受人列表 操作级 * 不支持
    DescribeMfaStatus 查询mfa状态 操作级 * 支持
    DescribeOIDCConfig 查询角色OIDC配置 操作级 * 支持
    DescribePermProject 获取用户项目权限 操作级 * 支持
    DescribeRoleList 获取角色列表 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    DescribeSafeAuthFlagColl 查询安全设置 操作级 * 支持
    DescribeSafeAuthInfo 获取安全设置概览信息 操作级 * 支持
    DescribeSecretProjectId 获取项目 ID 操作级 * 支持
    DescribeSensitiveInfoHashValue 获取用户敏感信息 操作级 * 支持
    DescribeServiceLinkedRole 服务相关角色详情 操作级 * 支持
    DescribeSubAccountBindPolicy 查看子账号绑定限制 操作级 * 支持
    DescribeSubAccountContacts 获取子账号联系信息 操作级 * 支持
    DescribeSubAccountLoginIpPolicy 查看子账号登录IP策略 操作级 * 支持
    DescribeSubAccountSessionSettings 获取子账号登录会话设置 操作级 * 支持
    DescribeSubAccounts 通过子用户UIN列表查询子用户 操作级 * 支持
    DescribeSubLoginUinList 查询用户所有可登协作者账号信息 操作级 * 支持
    DescribeSubUsers 子账号详情 操作级 * 不支持
    DescribeUserAnalysisReport 获取用户分析报表 操作级 * 支持
    DescribeUserAnalysisReportCheck 获取安全分析报告状态 操作级 * 支持
    DescribeUserOIDCConfig 查询用户OIDC配置 操作级 * 支持
    DescribeUserSAMLConfig 查询用户SAML配置 操作级 * 支持
    DescribeUserWeChatInfo 拉取用户绑定的微信信息 操作级 * 支持
    DescribeWechatUnionId 获取微信UnionId 操作级 * 支持
    GetAccountSummary 获取账户摘要 操作级 * 支持
    GetAllSubUser 获取所有用户信息 操作级 * 支持
    GetCustomMFATokenInfo 获取自定义多因子Token关联信息 操作级 * 支持
    GetCustomMfaCallback 获取用户自定义回调 操作级 * 支持
    GetGroup 查询用户组 操作级 * 支持
    GetMFADevice 查询mfa设备 操作级 * 支持
    GetMFADeviceColl 查询mfa设备 操作级 * 支持
    GetMfaStatusBySubUins 通过子账号的uin查询mfa状态 操作级 * 不支持
    GetPasswordRules 获取CAM密码设置规则 操作级 * 支持
    GetPolicy 查看策略详情 操作级 * 支持
    GetPolicyVersion GetPolicyVersion 操作级 * 支持
    GetReceiverInfo 根据Uin查询用户详情 操作级 * 支持
    GetRole 获取角色详情 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    GetRolePermissionBoundary 获取角色权限边界 操作级 * 支持
    GetSAMLProvider 查询SAML身份提供商信息 操作级 * 支持
    GetSafeAuthFlag GetSafeAuthFlag 操作级 * 支持
    GetSafeAuthFlagColl 查询安全设置 操作级 * 支持
    GetSecurityLastUsed 获取密钥最近使用情况 操作级 * 支持
    GetServiceLinkedRoleDeletionStatus 获取服务相关角色删除状态 操作级 * 支持
    GetStrategyNoticeFrequency 获取策略变更通知频率 操作级 * 支持
    GetSubAccountBindInfo 拉取子用户绑定信息 操作级 * 支持
    GetUidByUin 根据Uin查询Uid 操作级 * 支持
    GetUser 拉取子用户信息 操作级 * 支持
    GetUserAppId 获取用户AppId 操作级 * 不支持
    GetUserPermissionBoundary 获取用户权限边界 操作级 * 支持
    ListAccessKeys 列出访问密钥 资源级 qcs::cam::uin/${uin}:userName/${userName} 支持
    ListAllGroupsPolicies 查询所有用户组关联的策略 操作级 * 支持
    ListAttachedGroupPolicies 查看用户组关联的策略列表 操作级 * 支持
    ListAttachedRolePolicies 查看角色关联的策略列表 操作级 * 支持
    ListAttachedUserAllPolicies 列出用户关联的策略(包括随组关联) 操作级 * 支持
    ListAttachedUserPolicies 查看用户关联的策略列表 操作级 * 支持
    ListCollaborators 查看协作者列表 操作级 * 支持
    ListEntitiesForPolicy 查看策略关联的实体列表 操作级 * 支持
    ListGroups 获取用户组列表 操作级 * 支持
    ListGroupsForConsole 控制台查看用户组列表 操作级 * 支持
    ListGroupsForUser 查询用户关联的用户组列表 操作级 * 支持
    ListGroupsPolicies 批量查询用户组关联的策略 操作级 * 支持
    ListIdentityProvider 查询身份提供商列表 操作级 * 支持
    ListLoginRoles 获取登录切换角色列表 操作级 * 支持
    ListMaskedSubAccounts 拉取子账号列表(敏感信息打码) 操作级 * 支持
    ListPolicies 查看策略列表 操作级 * 支持
    ListPolicyVersions ListPolicyVersions 操作级 * 支持
    ListRoleTags 角色标签列表。 资源级 qcs::cam::uin/${uin}:roleName/${RoleName}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRole/${RoleId}
    qcs::cam::uin/${uin}:role/${RoleId}
    qcs::cam::uin/${uin}:role/tencentcloudServiceRoleName/${RoleName}
    支持
    ListSAMLProviders 查询SAML身份提供商列表 操作级 * 支持
    ListSimulationAuth 查询用户的模拟器鉴权结果 操作级 * 支持
    ListSubAccounts 获取用户列表 操作级 * 支持
    ListSubUsers 子账号信息列表 操作级 * 支持
    ListUserTags 查询子账号关联的标签列表 资源级 qcs::cam::uin/${uin}:userName/${userName} 支持
    ListUsers 拉取子用户列表 操作级 * 支持
    ListUsersForGroup 查询用户组关联的用户列表 操作级 * 支持
    ListUsersForPolicy 列出策略关联的用户列表(包括随组关联) 操作级 * 支持
    ListWeChatWorkSubAccounts 获取企业微信子账号列表 操作级 * 支持
    LookupRecentlyLogin 拉取上次登录信息 操作级 * 支持
    QueryApiKey 拉取API密钥列表 操作级 * 支持
    QueryApiKeyRecord 查询密钥访问记录 操作级 * 支持
    QueryCollApiKey 子账号密钥列表查询 操作级 * 支持
    QueryKeyBySecretId 根据SecretId查询个人 API 密钥 操作级 * 支持

    列表操作

    接口名 接口描述 授权粒度 资源六段式 IP限制
    DescribeOrganizationSubAccountPolicies 获取组织子账号被授权的策略列表 操作级 * 支持
    GetAllMaskedSubUser 获取所有子用户信息(敏感信息打码) 操作级 * 支持
    ListEntitiesForPermissionsBoundary 获取权限边界绑定的实体 操作级 * 支持
    ListPoliciesForPermissionsBoundary 权限边界策略列表 操作级 * 支持
    ListPoliciesGrantingServiceAccess 获取所有已授权服务 操作级 * 支持
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持