如果您在腾讯云中使用到了私有网络、云服务器、数据库等服务,这些服务由不同的用户来管理,并共享您的云账号密钥,将存在如下问题:
您的密钥由多用户共享,泄密风险高。
您无法限制其它用户的访问权限,易产生误操作造成安全风险。
此时,您可通过子账号实现不同的用户管理不同的服务,来规避上述问题。默认情况下,子账号没有使用 VPC 的权利或者 VPC 相关资源的权限。因此,需要创建策略来允许子账号使用他们所需要的资源或权限。
说明:
VPC 支持“资源级”授权粒度的访问管理,例如本文中弹性网卡资源支持使用 CAM 授权。
若您不需要对子账户进行 VPC 相关资源的访问管理,您可以跳过此章节,跳过这些部分不会影响您对文档中其余部分的理解和使用。
概述
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理腾讯云服务和资源的访问。您可以使用 CAM 创建子用户、用户组和角色,并通过策略控制其访问范围。CAM 支持用户和角色 SSO 能力,您可以根据具体管理场景针对性地设置企业内用户和腾讯云的互通能力。
您最初创建的腾讯云主账号,拥有整个账号全部腾讯云服务和资源的完全访问权限,建议您保护好主账号的凭证信息,日常使用子用户或角色进行访问,并开启多因素校验和定时轮换密钥。
有关 CAM 策略的语法信息,请参见 语法逻辑。
有关 CAM 策略的基本信息,请参见 策略。
入门
CAM 策略必须授权/拒绝使用一个或多个 VPC 操作。同时还必须指定可以用于操作的资源(可以是全部资源,某些操作也可以是部分资源),策略还可以包含操作资源所设置的条件。
部分 API 操作不支持资源级权限,即在使用该类 API 操作的时候,您不能指定某个具体的资源来使用,而必须要指定全部资源来使用。
任务 | 链接 |
了解策略基本结构 | |
在策略中定义操作 | |
在策略中定义资源 | |
弹性网卡支持的资源级权限 | |
访问管理示例 |