什么是访问管理?
**访问管理(Cloud Access Management,CAM)**是腾讯云提供的Web服务,主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。用户可以通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限。
当您使用 CAM 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。有关 CAM 策略的更多相关基本信息,请参照 策略语法。有关 CAM 策略的更多相关使用信息,请参照 策略。
黑石物理服务器、黑石弹性公网 IP、黑石私有网络,黑石负载均衡都已经接入 CAM,您可以使用 CAM 对相关黑石资源实现精细化的权限控制需求。
相关概念
CAM用户:CAM 用户 为您在腾讯云中创建的一个实体,每一个 CAM 用户仅同一个腾讯云账户关联。您注册的腾讯云账号身份为主账号,您可以通过 用户管理 来创建拥有不同权限的子账号协作您。子账号的类型分为 子用户、协作者 以及 消息接收人。
策略:用于定义和描述一条或多条权限的语法规范。腾讯云的策略类型分为预设策略和自定义策略。
预设策略:预设策略 由腾讯云创建和管理,是被用户高频使用的一些常见权限集合,如资源全读写权限等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可被用户编辑。
自定义策略:由用户创建的策略,允许作细粒度的权限划分。例如,为某数据库管理员关联一条策略,使其有权管理云数据库实例,而无权管理云服务器实例。
资源:即 resource 元素,描述一个或多个操作对象。例如黑石服务器、黑石负载均衡等实例。
黑石相关预设策略
预设策略,不需要编写策略,即可帮助您快速授权,但其缺点是授权的精度略为粗糙。以下是黑石产品的所有预设策略,分别为:
预设策略名 | 授权范围描述 |
QcloudBMFullAccess | 关联后,获得所有黑石所有产品(cpm,bmeip,bmlb,bmvpc 等)实例的增、删、改、查操作等操作权限 |
QcloudBMReadOnlyAccess | 关联后,只能获得查询黑石所有产品(cpm,bmeip,bmlb,bmvpc 等)列表及基本信息的权限 |
QcloudBMInnerFullAccess | 关联后,获得所有黑石服务器实例的增、删、改、查等操作的权限 |
QcloudBMInnerReadOnlyAccess | 关联后,只能获得查询黑石服务器列表及基本信息的权限 |
QcloudBMEIPFullAccess | 关联后,获得所有黑石弹性公网 IP 实例的增、删、改、查等操作的权限 |
QcloudBMEIPReadOnlyAccess | 关联后,只能获得查询黑石弹性公网 IP 列表及基本信息的权限 |
QcloudBMLBFullAccess | 关联后,获得所有黑石负载均衡实例的增、删、改、查等操作的权限 |
QcloudBMLBReadOnlyAccess | 关联后,只能获得查询黑石负载均衡列表及基本信息的权限 |
QcloudBMVPCFullAccess | 关联后,获得所有黑石私有网络实例的增、删、改、查操作的权限 |
QcloudBMVPCReadOnlyAccess | 关联后,只能获得查询黑石私有网络实例列表及基本信息的权限 |
鉴权失败处理
当您在使用腾讯云控制台或者 API 遇到以下提示,说明您没有被授予操作权限。请联系 root 账号管理员或者有 CAM 管理权限的人员为您的 CAM 账号关联相应策略。调用任一黑石 API 都要求通过 CAM 鉴权,您需要把用到的 API 和实例 ID 都添加到策略中,否则该提示会频繁出现。
授权方法如下:
复制提示中的 operation 以及 resource,并粘贴到策略的 action 和 resource 字段,再关联这个策略即可完成授权。
使用预设策略,但预设策略的授权的粒度较粗。