访问控制和权限管理

最近更新时间:2024-09-10 14:22:11

我的收藏

概述

对于腾讯文本内容安全(Text Moderation System,TMS)资源,不同企业之间或同企业多团队之间,需要对不同的团队或人员配置不同的访问权限。您可通过访问管理(Cloud Access Management,CAM)对子账号设置不同的操作权限,使得不同团队或人员能够相互协作。 首先,我们需要先了解几个关键概念:主账号、子账号(用户)和用户组。CAM 的相关术语、配置详细描述请参见访问管理的 词汇表

主账号

主账号又被称为开发商。用户申请腾讯云账号时,系统会创建一个用于登录腾讯云服务的主账号身份。主账号是腾讯云资源使用计量计费的基本主体。 主账号默认拥有其名下所拥有的资源的完全访问权限,包括访问账单信息,修改用户密码,创建用户和用户组以及访问其他云服务资源等。默认情况下,资源只能被主账号所访问,任何其他用户访问都需要获得主账号的授权。

子账号(用户)和用户组

子账号是由主账号创建的实体,有确定的身份 ID 和身份凭证,拥有登录腾讯云控制台的权限。 子账号默认不拥有资源,必须由所属主账号进行授权。 一个主账号可以创建多个子账号(用户)。 一个子账号可以归属于多个主账号,分别协助多个主账号管理各自的云资源,但同一时刻,一个子账号只能登录到一个主账号下,管理该主账号的云资源。 子账号可以通过控制台切换开发商(主账号),从一个主账号切换到另外一个主账号。 子账号登录控制台时,会自动切换到默认主账号上,并拥有默认主账号所授予的访问权限。 切换开发商之后,子账号会拥有切换到的主账号授权的访问权限,而切换前的主账号授予的访问权限会立即失效。 用户组是多个相同职能的用户(子账号)的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。

操作步骤

授权子账号访问 TMS 分为三个步骤:创建子账号、对子账号授予权限、子账号访问 TMS 资源。

步骤1:创建子账号

在 CAM 控制台可创建子账号,并配置授予子账号的访问权限。具体操作如下所示:
1. 使用主账号登录 CAM 控制台
2. 选择用户 > 用户列表 > 新建用户,进入新建用户页面。
3. 选择自定义创建,选择可访问资源并接收消息类型,单击下一步
4. 按照要求填写用户相关信息。
设置用户信息:输入子用户名称,例如 Sub_user。输入子用户的邮箱,您需要为子用户添加邮箱来获取由腾讯云发出的绑定微信的邮件。
访问方式:选择编程访问和腾讯云控制台访问。其他配置可按需选择。
5. 填写用户信息完毕后,单击下一步,进行身份验证。
6. 身份验证完毕,设置子用户权限。根据系统提供的策略选择,策略配置说明可参考 步骤2
7. 设置用户标签,该项为可选项,可按需设置,单击下一步
8. 确认配置信息无误后,单击完成即可创建子账号。

步骤2:授予子账号控制台和 API 资源访问权限

根据 步骤1设置的访问方式:编程访问和腾讯云控制台访问。

编程访问

当使用子账号通过编程(例如 API、SDK 和工具等)访问 TMS 资源时需要先获取主账号的 APPID、子账号的 SecretId 和 SecretKey 信息。您可以在访问管理控制台生成子账号的 SecretId 和 SecretKey。
1. 使用主账号登录 CAM 控制台
2. 选择用户列表,进入用户列表页面。
3. 单击子账号用户名称,进入子账号信息详情页。
4. 单击 API 密钥页签,并单击新建密钥为该子账号创建 SecretId 和 SecretKey。
5. 按照 步骤1 授权 TMS 的 CAM 策略 QcloudTMSFullAccess 后,至此您就可以通过子账号的 SecretId 和 SecretKey 访问 TMS 资源。

腾讯云控制台

子用户被授予权限后,可在 子用户登录界面 输入主账号 ID、子用户名和子用户密码登录控制台,并在云产品中选择单击内容安全,即可进入控制台。
登录控制必须需授权以下 CAM:
图片策略:QcloudIMSReadOnlyAccess
文本策略:QcloudTMSReadOnlyAccess(如需使用 服务体验,需授权QcloudTMSFullAccess)
音频策略:QcloudIAMSReadOnlyAccess
视频策略:QcloudVMReadOnlyAccess
CMS 策略:QcloudCMSFullAccess

子账号查询其他子用户数据

主账号可以查看所有子用户的调用数据,而子账号只能查看自己账号的调用记录。如果想让子账号也能够访问其他用户的信息,可以通过授权 ListUsers 权限实现。当前功能不支持角色 SSO 登录方式。
1. 访问管理 > 策略页面,单击新建自定义策略,创建一个自定义策略配置 ListUsers 接口权限并关联对应用户。

2. 在新的窗口中,选择按策略生成器创建。

3. 在编辑策略页面,服务选择访问管理(cam),操作选择 ListUsers,资源选择全部,单击下一步。

4. 在关联用户/用户组/角色页面,输入策略名称和描述,并且授予需要相应权限的用户和用户组,单击完成

5. 授权后,子账号登录控制台后,对应的多个页面的界面查询框部分有用户选择框。并且默认是当前子账户,可以手动选择全部账户,主账户和其他账户,数据权限和主账号权限一致。


热点问题

腾讯云账号的 UIN 和 APPID 是什么?子账号是什么?

1. UIN 即账号 ID,是唯一的且不能修改,APPID 是腾讯云账号的 APPID,是与账号 ID 有唯一对应关系的应用 ID,部分腾讯云产品会使用此 APPID。可在腾讯云控制台的账号信息中心查看 UIN 和 APPID。
2. 子账号是由主账号创建的实体,有确定的身份 ID 和身份凭证,拥有登录腾讯云控制台的权限。子账号默认不拥有资源,必须由所属主账号进行授权。一个主账号可以创建多个子账号。子账号身份 ID 和凭证可以在 腾讯云控制台 查看。


如何查看腾讯云后台子账号?

可以通过账号登录 访问管理 > 用户列表 查看已创建的子账号信息


如何获取 API 密钥?

可以通过主账号登录 访问管理 > API 密钥管理 查看已创建的子账号信息

说明:
AppID 和 SecretId 不是一样的。
在 云 API 密钥管理页面可以新建 SecretId, 每个账号最多可以创建两个 SecretId,没有有效期。
在 API 密钥管理页面获得的密钥,适用腾讯云所有的 API 调用使用。

访问管理 CAM 是什么?

是指帮助客户安全管理对腾讯云产品和资源的访问,默认主账号拥有腾讯云所有权限,客户需要用子账号来调用服务,就需要主账号来给子账号授权对应的CAM权限。否则会返回如下错误:
{
   "Response":{
       "Error":{
           "Code":"AuthFailure.UnauthorizedOperation",
           "Message":"You are not authorized to perform this operation. Check your CAM policies, and ensure that you are using the correct access keys. [[request id:ba58220a-0710-4fb4-b7b0-11d4f5a04f94]you are not authorized to perform operation (tms:TextModeration)\\nresource (*) has no permission\\n]"
      },
       "RequestId":"ba58220a-0710-4fb4-b7b0-11d4f5a04f94"
  }
}