访问管理概述

最近更新时间:2026-06-18 12:15:01

我的收藏
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。借助 CAM,您可以创建子账号、用户组和角色,并通过策略精确控制其访问范围。
您最初创建的云主账号拥有该账号下全部云服务和资源的完全访问权限。建议您妥善保管主账号的凭证信息,日常使用子账号或角色进行访问,并开启多因素校验、定期轮换密钥,以降低安全风险。
本文介绍在云数据库 MongoDB 中使用访问管理时涉及的基本概念。关于 CAM 的完整能力(用户组、单点登录、临时凭证等),请参见 访问管理产品文档

背景信息

如果您在云中使用了云服务器、私有网络、云数据库等多项服务,这些服务由不同成员管理,但共享同一个云账号密钥,将存在如下问题:
密钥由多人共享,泄露风险高。
无法限制各成员的访问权限,容易因误操作造成安全风险。
通过 CAM 为不同成员分配独立的子账号并授予最小必要权限,即可在不暴露主账号密钥的前提下,实现资源访问的安全管控。

基本概念

访问管理的各个概念之间存在清晰的逻辑关系:身份(主账号、子账号、角色)持有身份凭证用于登录或调用 API,对云上资源执行操作;操作是否被允许由权限决定,而权限通过策略进行定义和描述。
身份(主账号 / 子账号 / 角色)
│ 持有
身份凭证(登录凭证 + 访问证书)
│ 访问
资源(如一个 MongoDB 实例)
│ 受控于
权限(允许 / 拒绝某项操作)
│ 由……定义
策略(描述权限的语法规范)
各概念说明如下:
概念
说明
主账号
申请腾讯云账号时系统自动创建的身份,是云资源计量计费的基本主体。主账号默认拥有名下所有资源的完全访问权限,可创建子账号并为其设置权限。
子账号
由主账号创建并完全归属于主账号的身份,拥有确定的身份 ID 和身份凭证。子账号默认不具备主账号下任何资源的访问权限,需经授权后才能使用。
角色
一种虚拟身份,本身不持有长期凭证,可被授予一组权限。子账号或其他账号可临时扮演角色,从而获得角色所拥有的权限。常用于跨账号授权场景。
身份凭证
包括登录凭证和访问证书两种。登录凭证指用户登录名和密码;访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源
云服务中被操作的对象,例如一个云数据库 MongoDB 实例。
权限
允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有名下所有资源的访问权限,子账号则不具备任何资源的访问权限。
策略
定义和描述一条或多条权限的语法规范。由于子账号默认无任何权限,需通过创建并关联策略,授予其所需的资源访问权限。

更多信息

了解策略的编写方法与云数据库 MongoDB 支持的授权操作,请参见 权限策略语法
了解如何为子账号或跨账号授予权限,请参见 授权权限策略
了解访问管理的完整能力,请参见 访问管理产品文档