一、创建腾讯云子账号
通过腾讯云主账号登录访问管理控制台,进入用户列表页面。点击「新建用户」按钮,选择快速创建或自定义创建模式。快速创建支持批量生成10个用户,自定义创建需填写用户名、密码及权限设置。创建完成后需保存SecretId与SecretKey,并强制子账号首次登录时修改初始密码。
具体操作步骤:
- 访问「用户管理」>「用户列表」
- 填写用户基本信息与访问方式
- 选择权限关联策略(可跳过后续补充)
- 生成并保存API密钥
二、权限分配方式
腾讯云提供三种权限管理方案:
- 预设策略:使用系统预置的通用权限模板(如COS读写权限)
- 关联策略:在用户详情页通过「授权」功能绑定已有策略
- 自定义策略:通过策略生成器或JSON语法创建精细化权限
建议对需要访问特定资源的子账号(如仅管理指定云服务器)采用自定义策略,通过资源六段式限制操作范围。
三、自定义策略配置
在访问管理控制台的「策略」模块创建新策略,推荐使用策略生成器:
- 选择服务类型(如CVM、COS)
- 定义操作权限(允许/拒绝特定API)
- 指定资源范围(地域、实例ID等)
- 绑定子账号完成授权
示例拒绝删除云服务器的策略语法:
{
version": "2.0",
statement": [{
effect": "deny",
action": "cvm:TerminateInstance",
resource": "qcs::cvm:ap-guangzhou::instance/ins-xxx
}]
}四、资源级权限管理
通过以下步骤实现细粒度控制:
- 在目标资源详情页获取实例ID
- 创建策略时选择「特定资源」类型
- 输入六段式资源描述符(服务/地域/账户/实例)
- 启用多因素认证(MFA)保护敏感操作
完成配置后,子账号登录控制台仅显示被授权的资源,且无法执行策略禁止的操作。
通过主账号创建子账号后,需结合预设策略与自定义策略实现权限隔离。建议定期审查权限分配,对关键操作启用MFA验证,并遵循最小权限原则授予资源访问范围。通过CAM服务可实现产品级、设备级、API级的多维度访问控制。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/557131.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
