本文介绍如何自定义配置云开发自定义策略,为子账号授权特定权限。
说明:
自定义策略支持更加灵活的权限配置,允许做细粒度的权限划分,您可以对策略中的元素进行设置,包括操作(action)、资源(resource)、以及效力(effect),如需了解更多的策略语法,详情请参见 元素参考。
开通云开发
首次使用腾讯云云开发时,需要授权并开通云开发,不同身份的开通方式如下:
主账号:初次进入云开发控制台,控制台会提示授权确认,确认授权后即可创建环境。
说明:
此行为是一次性行为,只要开通过云开发,后续都不再需要此操作。(推荐)
子账号:子账号需要主账号授权资源访问后,才可使用。开通方式请参见下文 使用云开发。
使用云开发
策略语法
本条策略语法可以帮助主账号对子账号的环境权限进行设置。
说明:
您需要将
{$EnvId}
替换为真实的环境 ID,实现对子账户设置特定环境的访问权限。{"version": "2.0","statement": [{"effect": "allow","resource": ["*"],"action": ["cam:CreateRole","cam:AttachRolePolicy","cam:ListAttachedRolePolicies","cam:UpdatePolicy","cam:CreateServiceLinkedRole","cam:DescribeServiceLinkedRole","tcb:CheckTcbService","tcb:DescribePackages","tcb:DescribeEnvLimit","tcb:DescribeBillingInfo","tcb:DescribeExtensionsInstalled","cam:GetRole","tcb:DescribeCloudBaseRunAdvancedConfiguration","tcb:DescribeCloudBaseProjectLatestVersionList","tcb:DescribeExtensions","tcb:DescribePostPackage","tcb:DescribeICPResources","tcb:DescribeExtensionUpgrade","tcb:DescribeMonitorMetric","tcb:DescribeLowCodeUserQuotaUsage","tcb:DescribeEnvStatistics","tcb:DescribeLowCodeEnvQuotaUsage","tcb:CheckFeaturePermission","tcb:DescribeCommonBillingResources","tcb:DescribeCommonBillingPackages","tcb:DescribeExtraPackages"]},{"effect": "allow","resource": ["qcs::tcb:::env/{$EnvId}"],"action": ["tcb:*"]},{"effect": "allow","resource": ["*"],"action": ["cos:*"]},{"effect": "allow","resource": ["*"],"action": ["scf:*"]},{"effect": "allow","resource": ["*"],"action": ["cls:*"]},{"effect": "allow","resource": ["*"],"action": ["ssl:DescribeCertificateDetail","ssl:DescribeCertificates"]}]}
子账号关联自定义策略操作
说明:
子账号默认没有访问云开发资源的权限,因此使用子账号登录云开发控制台,无法访问云开发资源。
如果需要添加特定权限,可通过给子账号添加自定义策略的方式来访问云开发资源。具体操作步骤如下:
步骤1:添加自定义策略
1. 登录 CAM 控制台,选择左侧菜单策略。
2. 进入策略页面,单击新建自定义策略。
3. 选择创建策略方式,单击按策略语法创建。
4. 选择策略模板,选择空白模板,单击下一步。
5. 将 策略语法说明 中的策略复制进策略内容编辑器内,替换
{$EnvId}
为真实环境 ID。步骤2:关联自定义策略
1. 登录 CAM 控制台,选择左侧菜单用户 > 用户列表。
2. 进入用户列表页面,单击新建用户。
3. 进入新建用户页面,根据提示填写用户相关信息。
4. 信息填写完毕后,前往策略列表中选择新建的自定义策略。
5. 单击完成,即可完成创建子账号。