拥有QcloudCamFullAccess策略，却提示我 no permission

背景介绍：

做为子账号的拥有者，由于工作关系经常要使用到腾讯云的各种产品，厚着脸皮和管理员要到了【QcloudCamFullAccess】策略权限，想着后续工作起来会比较方便，但是主账号管理员在明确给我fullaccess后，我发现我依然无法自主配置使用CAM，BBQ了。。。。

分析过程：

1、经过自己退出控制管理后台，并重新登录。甚至清空浏览器缓存后退出控制管理后台，重新登录依然提示我“no permission

”，不解这里哪里有问题？难道是这个单独的接口由于某种原因排除在fullaccess里了？

2、尝试着随便随便点点访问管理的其他页面，发现很多cam接口均提示“no permission”，有点意思，怎么感觉就像是主账号没有给我fullaccess似得呢，再次怀疑我这主账号管理员是否没有真正的给我添加上全访问策略。。。。

3、厚着脸皮跑到主账号管理员老哥那里现场看看他的策略配置情况如何？（确认是否真的配置了）

截图如上，没毛病啊，咋就不行呢？看来只能一个一个的策略进一步查看下，看看各个策略到底都是怎么写的了。

4、在逐步的翻看过程中终于发现了一点端倪，截图如下：

在子账号的多条策略中有一条【QCloudResourceFullAccess】策略，并且该策略描述中明确提到该策略禁止【CAM】和【财务】的所有权限。感觉貌似找到原因了，进一步看看策略语法如何写的。

看来确实是没有CAM策略，这里应该是可以明确的了，但是为啥要解绑策略后，重新关联授权呢？这里不明白，先按照官方的意见操作下看看效果吧。

5、解绑后重新关联确实发现有这个权限可以使用了，于是有翻看过去的版本有什么区别。

看了下这个策略语法，又进一步确认。版本1 由于effect是deny，所以导致过去即便拥有camfullaccess权限，依然提示 cam : ***** 没有权限。现在 版本2 effect是allow，加一个condition，所以当新策略（2021.7.29）生效后，再加上拥有CamFullAccess，所以 cam : ***** 没有报错了。

结论

1、CAM策略的描述和语法要看清。

2、"effect":"deny"的效果是严格禁止使用，策略设定要谨慎。