上云无忧 > 文档中心 > 腾讯云弹性微服务 TEM - 子账号获取访问权限
弹性微服务 TEM
腾讯云弹性微服务 TEM - 子账号获取访问权限

文档简介:
CAM 基本概念: 主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
*此产品及展示信息均由腾讯云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

CAM 基本概念

主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。

用户类型

主账号:拥有腾讯云所有资源,可以任意访问其任何资源。
子账号:包括子用户、企业微信子用户、协作者和消息接收人。
关于主账号和子账号的详细定义及功能说明请参考 访问管理 - 用户类型

资源与权限

资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。
权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。

子账号使用弹性微服务

协作者与子账号使用弹性微服务时,需要对三方面进行授权:
1. 要将角色(及其许可策略)传递至弹性微服务服务,用户必须具有传递角色至服务的许可,即创建 PassRole 策略。详细操作参考 授予 PassRole 策略
2. 使用弹性微服务的权限,您可以通过授予子账号 QcloudTEMFullAccess 策略给予子账号使用弹性微服务的全量权限或者QcloudTEMReadOnlyAccess策略给予子账户只读权限。详细操作参考 授予使用弹性微服务平台的权限
3. 使用弹性微服务过程中,涉及到对其他产品的调用,需要主账号对子账号进行授权。详细说明参考 授予访问其他云产品权限

授予 PassRole 策略

步骤1:新建策略

1. 登录 访问管理控制台
2. 在左侧导航栏,单击策略,进入策略管理列表页。
3. 单击新建自定义策略
4. 在选择创建策略方式的弹出框中,单击按策略语法创建,进入按策略语法创建页。
5. 按策略语法创建页 中,选择空白模板,并单击下一步
6. 填写策略名和内容,并单击创建策略。使用主账号或具有管理权限的子账号创建如下两个自定义策略,策略语法如下:
访问除了 CLS 外其他云产品资源:
		
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInAccessCluster"
}
}
访问 CLS 云产品资源:
		
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInTEMLog"
}
}
其中 ${OwnerUin} 为主账号 ID,从控制台 账号信息 页面获取。

步骤2:将策略绑定到用户

1. 在左侧导航栏,单击用户 > 用户列表,进入用户管理页面。
2. 选择要授予 TEM 使用权限的用户,单击操作列的授权
3. 从策略列表中筛选出步骤一中的创建的策略。
4. 单击确定,绑定策略。该策略会显示在用户的策略列表中。

授予使用 TEM 平台的权限

全读写策略
授权一个子用户以 TEM 服务的完全管理权限(创建、管理等全部操作)。
		
{
"version": "2.0",
"statement": [
{
"action": "tem:*",
"resource": "*",
"effect": "allow"
}
]
}
您也可以通过设置系统的 全读写策略 支持。
1. 登录 访问管理控制台
2. 在左侧菜单栏中,单击**策略**。
3. 在策略列表中,单击新建自定义策略
4. 在选择创建策略方式的弹窗中,选择按策略语法创建
5. 在模板类型中,搜索“tem”,选择弹性微服务全读写访问权限QcloudTEMFullAccess,单击下一步
6. 单击完成
后续操作:将创建好的策略绑定到目标用户。
只读策略
授权一个子用户以弹性微服务的只读权限。
		
{
"version": "2.0",
"statement": [
{
"action": [
"tem:Describe*"
],
"resource": "*",
"effect": "allow"
}
]
}
您也可以通过设置系统的 只读策略 支持。
1. 登录 访问管理控制台
2. 在左侧菜单栏中,单击**策略**。
3. 在策略列表中,单击新建自定义策略
4. 在选择创建策略方式的弹窗中,选择按策略语法创建
5. 在模板类型中,搜索“tem”,选择弹性微服务只读访问策略QcloudTEMReadOnlyAccess,单击下一步
6. 单击创建策略

授予访问其他云产品权限

弹性微服务平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应弹性微服务产品功能的使用。
授权示例如下:
		
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cam:DescribeRoleList",
"cvm:DescribeSecurityGroups",
"vpc:DescribeVpcEx",
"vpc:DescribeSubnetEx",
"tse:DescribeSREInstances",
"cls:DescribeLogsets",
"cls:DescribeTopics",
"cfs:DescribeCfsFileSystems",
"ssl:DescribeCertificate",
"tcr:DescribeRepositoryOwnerPersonal",
"tcr:DescribeRepositories",
"tcr:DescribeInstances",
"tcr:DescribeInternalEndpoints",
"tcr:CreateInstanceToken"
],
"resource": [
"*"
相似文档
  • 操作场景: 在弹性微服务中,环境是一组计算、网络、存储等资源的集合。弹性微服务提供多环境管理的功能,您可根据自身业务需要,创建开发、测试、预发、生产等多个环境,分别部署应用,达成环境隔离的目的。不同环境中的应用彼此隔离;同一环境内的应用可以通过 k8s Service 机制或者 ZooKeeper 等注册中心互相访问。
  • 操作场景: 本文档主要介绍在弹性微服务控制台中创建应用的具体步骤。
  • 操作场景: 本文以 Java 开发的 Demo 应用程序,采用 JAR 包上传部署方式,向您展示如何将您的应用部署在弹性微服务上,并使其可以被公网访问。
  • 操作场景: 本文以使用 Spring Cloud 开发的生产者-消费者 Demo 应用程序,采用 JAR 包上传部署方式,向您展示如何将您的微服务应用部署在弹性微服务上,并让您的应用可以相互调用,并在公网被访问。
  • 操作场景: 在弹性微服务中,环境是一组计算、网络、存储等资源的集合。TEM 提供多环境管理的功能,您可根据自身业务需要,创建开发、测试、预发、生产等多个环境,分别部署应用,达成环境隔离的目的。不同环境中的应用彼此隔离;同一环境内的应用可以通过 k8s Service 机制或者 ZooKeeper 等注册中心互相访问。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部