概述
腾讯云STS(Security Token Service)是腾讯云提供的一种临时访问权限管理服务。CAM提供CAM用户和CAM角色两种身份。其中,CAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。
术语表
访问管理 API 接口的常见术语请参见下表:
| 术语 | 描述 |
|---|---|
| 子账号 | 子账号为您在腾讯云中创建的实体,有确定的身份ID和身份凭证。分为子用户、企业微信子用子账号户、协作者以及消息接收人。其中子用户和协作者的区别在于子用户完全归属于主账号,而协作者为之前已经注册的腾讯云主账号。即协作者可以有两个身份,一个为自身账号的主账号,也可以场换为对应主账号的协作者。具体可参考 用户类型 。 |
| 角色 | CAM 的角色可以理解为一种虚拟用户,与子用户、协作者或接收消息者这类实体用户不同。角色同样可被授予策略。角色可以是任一腾讯云账号代入,并不是唯一地与某个账号绑定关联。角色没有关联的持久证书(密码或访问密钥),主账号仅在申请角色时需要使用持久证书,在用户担任某个角色时,主账号则会动态创建临时证书并为用户进行相应访问时提供该临时证书,用户即可通过控制台和 API两种方式使用角色 |
| 角色ARN | 角色ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循腾讯云ARN的命名规范。例如,某个腾讯云账号下的devops角色的ARN为:qcs:cam::uin/1234****:roleName/samplerole。创建角色后,单击角色名后,可在基本信息页查看其ARN。 |
| 可信实体 | CAM角色的可信实体是指可以扮演CAM角色的实体用户身份。创建CAM角色时必须指定可信实体,CAM角色只能被可信实体扮演。可信实体可以是腾讯云账号、受信的腾讯云服务或身份提供商。 |
| 权限策略 | 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个CAM角色可以绑定一组权限策略,没有绑定权限策略的CAM角色可以存在,但不能访问资源。 |
| 扮演角色 | 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole - 获取扮演角色的临时身份凭证可以获得角色的安全令牌,使用安全令牌可以访问云服务API。 |
使用限制
对于 API 接口的参数限制,请参考各接口文档中的参数说明。
API 快速入门
您可以使用 API Explorer 工具在线调用 API。
场景示例:
- 使用CAM用户扮演角色时获取STS Token
有权限的CAM用户可以使用自己的访问密钥调用AssumeRole - 获取扮演角色的临时身份凭证接口,以获取某个CAM角色的STS Token,从而使用STS Token访问腾讯云资源。通常用于跨账号访问场景和临时授权场景。更多信息,请参见扮演CAM角色、跨腾讯云账号的资源授权和移动应用使用临时安全令牌访问腾讯云。
- 角色SSO时获取STS Token
进行角色SSO时,通过调用AssumeRoleWithSAML - SAML角色SSO时获取扮演角色的临时身份凭证或AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口,以获取某个CAM角色的STS Token,从而使用STS Token进行单点登录(SSO登录)。更多信息,请参见SAML角色SSO概览或OIDC角色SSO概览。
