主账号可以根据实际开发场景,对子账号开发者设定对应的 cam 权限策略。
场景一:子账号拥有云账号下全部资源权限
默认创建的子账号的时候会自动带此策略 AdministratorAccess,可以操作云账号下所有资源。
腾讯云控制台进入访问管理 > 用户列表 > 快速新建用户。
默认创建的子账号的时候会自动带此策略 AdministratorAccess,可以操作云账号下所有资源。
创建子账号完成。
场景二:子账号拥有微搭、云开发所有环境下资源权限
以下设置完成以后,可以使用微搭和云开发所有环境下资源。
步骤1:进入到对应子账号详情里,移除所有策略
前提:创建子账号以后需要先移除默认添加的此策略 AdministratorAccess。
步骤2:添加以下cam策略,从策略列表中选取策略关联
然后子账号关联以下预设策略:
必须策略 :
QcloudCamSubaccountsAuthorizeRoleFullAccess
QcloudAccessForTCBRole
QcloudAccessForTCBRoleInAccessCloudBaseRun
QcloudLowCodeFullAccess
可选策略:
QcloudTCBFullAccess
QcloudTCBRFullAccess
1. 从策略列表中选取策略关联。
2. 搜索需要关联的策略名称,然后选中。
3. 审阅用户权限。
关联完成。
场景三:子账号拥有微搭、云开发指定某环境资源权限
根据 cam 策略模板自定义策略管理,以下设置完成以后,可以指定子账号使用微搭和云开发某一环境下资源,做环境维度的权限隔离。
不同应用在不同环境内开发,以此做到隔离。该子账号只能看到当前环境下的应用的资源。
步骤1:进入到云开发获取环境 ID
如果还没有多环境,则需要首先联系微搭工作人员后台发布多个环境,或手动购买并创建多个环境。
步骤2:创建 cam 策略
{"version": "2.0","statement": [{"effect": "allow","action": ["cam:CreateRole","cam:AttachRolePolicy","cam:GetRole","cam:ListAttachedRolePolicies","cam:UpdatePolicy","cam:CreateServiceLinkedRole","cam:DescribeServiceLinkedRole","tcb:CheckTcbService","tcb:DescribePackages","tcb:DescribeEnvLimit","tcb:DescribeBillingInfo","tcb:DescribeExtensionsInstalled","tcb:DescribeCloudBaseRunAdvancedConfiguration","tcb:DescribeCloudBaseProjectLatestVersionList","tcb:DescribeExtensions","tcb:DescribePostPackage","tcb:DescribeICPResources","tcb:DescribeExtensionUpgrade","tcb:DescribeMonitorMetric","tcb:DescribeLowCodeUserQuotaUsage","tcb:DescribeEnvStatistics","tcb:DescribeLowCodeEnvQuotaUsage","tcb:CheckFeaturePermission","tcb:DescribeCommonBillingResources","tcb:DescribeCommonBillingPackages","tcb:DescribeExtraPackages"],"resource": ["*"]},{"effect": "allow","action": ["cos:*","scf:*","cls:*","ssl:DescribeCertificateDetail","ssl:DescribeCertificates"],"resource": ["*"]},{"effect": "allow","action": ["tcb:*"],"resource": ["qcs::tcb:::env/{envID}"]},{"effect": "allow","action": ["lowcode:GetEnvList"],"resource": ["qcs::lowcode:::env/{envID}"]},{"effect": "deny","action": ["lowcode:DeleteEnv"],"resource": ["qcs::lowcode:::env/{envID}"]}]}
1. 新建自定义策略。
2. 按策略语法创建。
3. 选择空白模板。
步骤3:粘贴模板到 cam 策略内容
可以命名为 weda_test1,用于后面复制子账号权限使用。
1. 模板命名规则,主要是后面 cam 策略关联子账号时好找,weda_ 子账号用户名称。
2. 模板备注里可以加上对应的环境 ID,先去微搭资源管理里复制环境 ID。微搭子账号 test1 权限,环境 ID
lowcode-3gp1xflvc8844909
。
3. 策略内容里将 {envID},替换成此子账号所属的环境 ID,例如:
lowcode-1gf52uyb34bc16a7
。
4. control+f 可以搜索定位下,然后复制粘贴环境 ID 值,最后单击完成。
5. 定位到替换 envID 处。
6. 替换完成后。
步骤4:子账号关联对应的 cam 策略
配置完成后,该子账号 test1 可拉取和访问该环境下的应用。
注意:
子账号先解除之前已经关联的所有其他策略。
1. 可以按照上面命名的策略名称:weda_test1,搜索下。然后关联此策略。
2. 单击确定后,完成关联。
3. 子账号拥有特定环境的访问权限配置完成。