腾讯云消息队列 Pulsar 版 - 授予子账号访问权限
文档简介:
CAM 基本概念:
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账号体系
主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户和协作者。
子用户: 由主账号创建,完全归属于创建该子用户的主账号。
协作者:本身拥有主账号身份,被添加作为当前主账号的协作者,则为当前主账号的子账号之一,可切换回主账号身份。
身份凭证:包括登录凭证和访问证书两种,登录凭证指用户登录名和密码,访问证书指云 API 密钥(SecretId 和 SecretKey)。
资源与权限
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 Pulsar
为了保证子账号能够顺利使用 Pulsar,主账号需要对子账户进行授权。
主账号登录 访问管理控制台,在子账号列表中找到对应的子账号,单击操作列的授权。
Pulsar 为子账号提供了两种预设策略:QcloudTDMQReadOnlyAccess 和 QcloudTDMQFullAccess,前者仅能查看控制台的相关信息,后者可以在产品控制台进行读写等相关操作。
除了以上的预设策略外,为了方便使用,主账号还需要根据实际需要,授予子账号合适的其他云产品调用权限。Pulsar 使用中涉及到以下云产品的相应接口权限:
|
云产品
|
接口名
|
接口作用
|
对应在 Pulsar 中的作用
|
|
腾讯云可观测平台(Monitor)
|
GetMonitorData
|
查询指标监控数据
|
查看控制台展示的相应监控指标
|
|
腾讯云可观测平台(Monitor)
|
DescribeDashboardMetricData
|
查询指标监控数据
|
查看控制台展示的相应监控指标
|
|
资源标签(Tags)
|
DescribeResourceTagsByResourceIds
|
查询资源标签
|
查看集群的资源标签
|
为了给子账号增加上述权限,主账号还需要在 访问管理控制台 的策略页面,进行新建自定义策略操作。单击按策略语法新建后,选择空白模板,输入以下策略语法:
{"version": "2.0","statement": [{"effect": "allow","action": ["monitor:GetMonitorData","monitor:DescribeDashboardMetricData","tag:DescribeResourceTagsByResourceIds"],"resource": ["*"]}]}
创建完成策略后,在操作列,将创建好的策略关联给子账号即可,如下图所示:
