访问管理概述

最近更新时间:2022-11-23 10:48:42

我的收藏

访问管理(CAM)简介

在使用腾讯云弹性 MapReduce(简称:EMR)服务时,不同部门、不同人员角色,在使用过程中需要的权限不同,避免相应的泄密、误操作等安全风险;此时您就可以通过子账号实现不同的人分配不同的权限,来规避以上的问题。默认情况下,子账号没有使用 EMR 的权力或者相关资源的权限。因此,需要通过创建策略来指定子账号使用他们所需的资源或权限。
访问管理(CloudAccessManagement,简称:CAM)是腾讯云提供的一套 Web 服务,用于帮助客户安全地管理腾讯云账户的访问权限,资源管理和使用权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。
在使用 EMR 的时候,可以将策略与一个用户或一组用户关联起来,策略能够授权或者拒绝用户使用指定资源完成指定任务。有关 CAM 策略的更多相关基本信息,请参照 策略语法。有关 CAM 策略的更多相关使用信息,请参照 策略

CAM 应用场景

1. 给子用户分配资源管理权限

您可以在 CAM 中创建用户或角色,为其分配单独的安全证书(控制台登录密码、云 API 密钥等)或请求临时安全证书,供其访问腾讯云资源。您可以管理权限,以控制用户和角色具体可以执行哪些操作和访问哪些资源。

2. 已具有腾讯云外部身份,并且这些用户需要访问腾讯云资源

您可通过 CAM 使用您现有的身份验证体系向员工以及服务提供腾讯云服务和资源的访问权限。

3. 需要给子用户提供在用户名和密码之外再额外增加的一层保护

支持3种校验方式:微信扫码校验、MFA 设备校验(分为硬件 MFA 设备校验和虚拟MFA设备校验)、手机验证码校验。

产品支持 CAM 粒度介绍

EMR 支持 API 粒度鉴权分为资源级接口级鉴权。接口入参包含集群字符串 ID 为接口级鉴权,接口级鉴权主要由云 API 直接转发到 CAM 侧进行鉴权;资源级鉴权是由 EMR 后台进行细粒度鉴权。EMR 支持资源级授权、接口级授权、按标签授权三种方式。
资源级和接口级授权:您可以通过策略语法给子账号单个资源的管理的权限,详细请参考鉴权粒度方案
按标签授权:您可以通过给资源标记标签,实现给子账号对应的标签下资源的管理权详细请参考鉴权粒度方案