管理员策略:AdministratorAccess
策略描述:该策略允许您管理账户内所有用户及其权限、财务相关的信息、云服务资产。
策略语法:
{"statement": [{"action": "*","effect": "allow","resource": "*"}],"version": "2.0"}
全局只读策略:ReadOnlyAccess
策略描述:该策略允许您只读访问账户内所有支持接口级鉴权或资源级鉴权的云服务资产。
策略语法:
{"statement": [{"action": "*","condition": {"numeric_equal": {"qcs:read_only_action": 1}},"effect": "allow","resource": "*"}],"version": "2.0"}
说明:
条件键 qcs:read_only_action:1(接口属性定义为“读”,主要包含开头为:
"Check","List","Describe","Search","Get","BatchGet","Query","BatchQuery","Download","Export","View","Inquiry","Inquire","Compare","Verify","Validate"的接口)
条件运算符:numeric_equal(含义为数值等于)
全局资源管理策略:QCloudResourceFullAccess
策略描述:该策略允许您管理账户内所有云服务资源(除了财务的所有权限),以及 CAM 的部分接口,例如管理子用户属性、子用户密钥、用户组等特殊资源的权限。 该策略已于2021-07-29升级策略版本,2021-07-29 00:00:00前关联授权的子账号,仍按照“版本1”的策略语法,拒绝访问管理(cam)和财务(finance)权限。 若想按照新的“版本2”语法授权,则需解绑策略后,重新关联授权。
策略语法:
{"statement": [{"action": "*","condition": {"numeric_equal": {"qcs:except_cam_finance": 1}},"effect": "allow","resource": "*"}],"version": "2.0"}
说明:
条件键:qcs:except_cam_finance:1(不包含的财务权限和部分CAM接口权限)
条件运算符:numeric_equal(含义为数值等于)
该策略允许的 CAM 接口如下:
API 名称 | API 描述 |
AddSubAccount | 添加子用户 |
AddUserToGroup | 用户加入到用户组 |
CreateCollApiKey | 子用户创建密钥 |
CreateGroup | 创建用户组 |
CreateProjectKey | 创建项目密钥 |
CreateRole | 本接口(CreateRole)用于创建角色。 |
CreateRoleByConsole | 本接口(CreateRoleByConsole)用于控制台创建角色。 |
CreateSAMLProvider | 创建SAML身份提供商 |
CreateSubUserInviteQRCode | 创建子账号邀请二维码 |
DeleteCollApiKey | 子用户删除密钥 |
DeleteGroup | 删除用户组 |
DeleteProjectKey | 删除项目密钥 |
DeleteSAMLProvider | 删除 SAML 身份提供商 |
DeleteSubAccount | 删除子账号 |
DescribeMFADeviceColl | 查询 MFA 设备 |
DescribeSafeAuthFlagColl | 查询安全设置 |
DisableCollApiKey | 子用户禁用密钥 |
DisableProjectKey | 禁用项目密钥 |
EnableCollApiKey | 子用户启用密钥 |
EnableProjectKey | 启用项目密钥 |
GetGroup | 查询用户组详情 |
GetSAMLProvider | 获取角色 SSO 身份提供商 |
ListGroups | 查询用户组列表 |
ListGroupsForConsole | 控制台查看用户组列表 |
ListGroupsForUser | 列出用户关联的用户组 |
ListIdentityProvider | 查询身份提供商列表 |
ListMaskedSubAccounts | 拉取子账号列表(敏感信息打码) |
ListReceiver | 获取消息接收人列表 |
ListSAMLProviders | 查询 SAML 身份提供商列表 |
ListSubAccounts | 拉取子账号列表 |
ListUsersForGroup | 查询用户组关联的用户列表 |
ModifyMessageReceiver | 修改消息接收人 |
QueryCollApiKey | 子用户查询密钥 |
QueryKeyBySecretId | 根据 SecretId 查询个人 API 密钥 |
RemoveUserFromGroup | 从用户组删除用户 |
SetSafeAuthFlag | 设置用户的登录保护和敏感操作校验方式 |
SetSafeAuthFlagIntl | 设置用户的登录保护和敏感操作校验方式(国际站) |
UnbindStoken | 解绑软 Token |
UnbindSubAccountStoken | 解绑 SToken 卡 |
UnbindSubAccountToken | 解绑 Token 卡 |
UnbindToken | 解绑 Token 卡 |
UpdateGroup | 更新用户组 |
UpdateSAMLProvider | 更新 SAML 身份提供商信息 |
UpdateSubAccount | 修改子账号 |
UpdateSubAccountAttr | 更新子账号属性 |
全局财务管理策略:QCloudFinanceFullAccess
策略描述:该策略允许您管理账户内财务相关的内容,例如:付款、开票。
策略语法:
{"statement": [{"action": "cooperator:MANAGE_FINANCE","effect": "allow","resource": "*"}],"version": "2.0"}
说明:
cooperator:MANAGE_FINANCE:腾讯云财务相关接口集合名称。