注意
创建子用户并授予 CFG 的所有操作权限
步骤1:使用主账号创建子用户
1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表。
2. 在“用户列表”页面,选择新建用户 > 自定义创建,进入“新建子用户”页面。
3. 在“选择类型”步骤中,选择可访问资源并接收消息后单击下一步。
4. 在“填写用户信息”步骤中,您可批量创建子用户,设置访问方式和设置控制台密码等,请按需进行设置后单击下一步。
5. 在“设置用户权限”页面,按需选择不同的方式为当前新建的子用户设定权限,单击下一步保存设定,后续您可以更改相关权限设定。权限的三种设置方式:
将子用户添加到现有用户组或新建用户组。
复制现有用户权限。
从策略列表中授权。
6. 在“审阅信息和权限”页面,确认信息无误之后单击完成,完成自定义创建子用户操作。
说明
步骤2:创建自定义策略
2. 在“策略”管理页面,选择新建自定义策略 > 按策略语法创建,进入创建页面。
3. 模板类型选择 CFG,并选择 QcloudCFGFullAccess,单击下一步。
4. 参考以下的授权语法,实现的效果是允许子账号操作 CFG 的全部功能和允许使用 CFG 角色操作相应资源。具体可以参考 CFG 角色说明。
{"version": "2.0","statement": [{"action": "cfg:*","resource": "*","effect": "allow"},{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"}]}
步骤3:把策略关联到用户/用户组
1. 在“策略”管理页面,单击新建策略右侧的关联用户/组,弹出关联提示框。
2. 选择需要关联的用户,单击确定完成关联操作。您还可以切换用户或用户组,进行选择。
步骤4:为子用户添加 CAM 只读权限
2. 在“用户列表”页面,选择需要设置权限的子用户,进入用户详情页面。
3. 在“用户详情”页面,单击关联策略,进入添加策略页面。
4. 在“设置用户权限”步骤中,选择从策略列表中选取策略关联,勾选 QcloudCamReadOnlyAccess,单击下一步。
5. 在“审阅用户权限”步骤中,单击确定,完成子用户“用户与权限(CAM)只读访问权限”的授权。完成上述操作后,CFG 才能通过子用户获取到主账户已有的权限,完成鉴权流程。
步骤5:为子用户授权 CAM
创建子用户并授予 CFG 的部分操作权限
步骤1:使用主账号创建子用户
1. 登录 访问管理控制台,选择左侧导航栏中的用户 > 用户列表。
2. 在“用户列表”页面,选择新建用户 > 自定义创建,进入“新建子用户”页面。
3. 在“选择类型”步骤中,选择可访问资源并接收消息后,单击下一步。
4. 在“填写用户信息”步骤中,您可批量创建子用户,设置访问方式和设置控制台密码等,请按需进行设置后单击下一步。
5. 在“设置用户权限”页面,按需选择不同的方式为当前新建的子用户设定权限,单击下一步保存设定,后续您可以更改相关权限设定。权限的三种设置方式:
将子用户添加到现有用户组或新建用户组。
复制现有用户权限。
从策略列表中授权。
6. 在“审阅信息和权限”页面,确认信息无误之后单击完成,完成自定义创建子用户操作。
说明
步骤2:创建自定义策略
2. 在“策略”管理页面,选择新建自定义策略 > 按策略语法创建,进入创建页面。
3. 模板类型选择 CFG,并选择 
QcloudCFGFullAccess,单击下一步。
4. 参考以下的授权语法,实现的效果是允许子账号操作 CFG 的全部功能和允许使用 CFG 角色操作相应资源。具体可以参考 CFG 角色说明。
{"version": "2.0","statement": [{"action": "cfg:*","resource": "*","effect": "allow"},{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"}]}
注意
resource 中的资源描述,需要替换成主账号的 ID。
步骤3:把策略关联到用户/用户组
1. 在“策略”管理页面,单击新建策略右侧的关联用户/组,弹出关联提示框。
2. 选择需要关联的用户,单击确定完成关联操作。您还可以切换用户或用户组,进行选择。
步骤4:为子用户添加 CAM 只读权限
2. 在“用户列表”页面,选择需要设置权限的子用户,进入用户详情页面。
3. 在“用户详情”页面,单击关联策略,进入添加策略页面。
4. 在“设置用户权限”步骤中,选择从策略列表中选取策略关联,勾选 QcloudCamReadOnlyAccess,单击下一步。
5. 在“审阅用户权限”步骤中,单击确定,完成子用户“用户与权限(CAM)只读访问权限”的授权。完成上述操作后, CFG 才能通过子用户获取到主账户已有的权限,完成鉴权流程。
步骤5:完成
说明
策略生效后,当前子账号可以看到所有的函数名,但是只能对 resource 中的函数进行操作和查看。
示例
说明
以下示例仅为展示 CAM 用法,一个 CFG 混沌演练任务完成流程。在使用时,请将 OwnerUin 替换成主账号的 UIN。
{"version": "2.0","statement": [{"action": "cfg:*","resource": "*","effect": "allow"},{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/CFG_QCSLinkedRoleInChaos"},{"action": ["tag:DescribeTagKeys","tag:DescribeTagValues","tag:DescribeResourceTagsByResourceIds","tag:AttachResourcesTag","tag:ModifyResourcesTagValue","tag:DetachResourcesTag"],"resource": "*","effect": "allow"},{"action": ["monitor:DescribeAlarmPolicies"],"resource": "*","effect": "allow"}]}
