一、创建子账号基础配置
通过主账号登录腾讯云控制台,点击右上角「访问管理」进入用户列表页面。选择「新建用户」并填写账号名称、描述等基础信息,建议开启编程访问以生成SecretId和SecretKey。完成创建后需立即保存访问凭证,首次登录时子账号需修改初始密码。
二、权限策略类型选择
腾讯云提供两种权限分配方式:
- 直接关联策略:在用户详情页选择「授权」,勾选预设策略或自定义策略完成绑定
- 随组关联策略:将用户加入已配置权限的用户组,自动继承组策略权限
建议对需要精确控制资源访问(如特定CVM实例)的场景使用自定义策略,通过资源六段式限制操作范围。
三、自定义策略配置流程
按以下步骤创建精细化权限策略:
- 在访问管理控制台进入「策略」模块,选择「新建自定义策略」
- 选择「按策略生成器创建」,指定服务类型(如CVM、COS)和操作权限
- 通过资源描述指定可访问对象,示例格式:
qcs::lighthouse:ap-guangzhou::instance/ins-xxxxx - 绑定策略到目标子账号或用户组
{
version": "2.0",
statement": [{
effect": "allow",
action": ["cvm:Describe*"],
resource": "qcs::cvm:ap-shanghai::instance/ins-12345
}]
}
四、权限验证与测试
使用子账号凭证登录控制台,验证可见资源是否符合预期。建议通过以下方式排查问题:
- 检查用户关联策略与用户组策略是否存在冲突
- 使用策略模拟器验证API调用权限
- 查看操作记录审计日志追踪权限使用情况
通过主账号统一管理子账号权限策略,结合预设策略与自定义策略实现多层次访问控制。建议遵循最小权限原则,定期审查策略有效性,对于敏感操作启用多因素认证。实际配置时应根据业务需求平衡安全性与操作便利性。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/573777.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
