如何重置子账号的API密钥？

一、重置核心原理与准备工作

1. 重置本质：因 SecretKey 无法找回或修改，重置 = 创建新密钥 + 淘汰旧密钥，确保业务连续性需先建后删
2. 准备事项：
   • 主账号登录权限（或子账号拥有自助管理密钥权限）
   • 密码管理器（保存新密钥）
   • 业务系统清单（需同步更新新密钥的应用）
   • 明确子账号所需 CDN 权限范围（重置后保持最小权限）

二、场景一：主账号为子账号重置 API 密钥（推荐，生产环境首选）

步骤 1：定位子账号与密钥管理页

1. 主账号登录腾讯云控制台，访问CAM 用户列表
2. 找到目标子账号（如cdn-operator），点击用户名进入详情页
3. 切换至API 密钥标签页（核心操作区）

步骤 2：禁用旧密钥（安全第一，防止业务中断）

1. 在 API 密钥列表中，找到待重置的密钥，点击操作列的禁用
2. 弹出确认框，勾选 “我已确认...”，点击确定
3. 验证：密钥状态变为已禁用（此时业务会中断，需快速推进）

步骤 3：删除旧密钥（彻底淘汰，释放额度）

1. 对已禁用的密钥，点击操作列的删除
2. 二次确认：“API 密钥删除后无法恢复，是否继续？” → 点击确定
3. 限制说明：每个子账号最多创建2 个密钥，删除旧密钥后才能新建

步骤 4：创建新 API 密钥（核心步骤）

1. 点击 API 密钥页左上角新建密钥（蓝色按钮）
2. 完成主账号二次验证（微信扫码 / 短信，安全强制要求）
3. 系统生成新的SecretId和SecretKey，弹出保存窗口
4. 立即保存（不可逆）：
   • 复制 SecretId/SecretKey 到密码管理器
   • 点击下载 CSV备份到本地安全目录
5. 点击确定关闭窗口（关闭后无法再次查看该 SecretKey）

步骤 5：业务切换与旧密钥清理

1. 先更新后停用：在所有使用旧密钥的系统中配置新密钥（如 CDN 预热查询脚本）
2. 测试新密钥可用性（调用 DescribeCdnRefreshTasks API 验证权限）
3. 确认业务正常后，彻底删除旧密钥（已禁用可直接删除）
4. 记录操作：在 CAM 日志中标记 “密钥重置 - 子账号 xxx - 用途 xxx”

三、场景二：子账号自助重置 API 密钥（需主账号授权）

前置条件：主账号授予自助管理权限

1. 主账号进入子账号详情页 → 权限标签 → 添加权限
2. 搜索并关联策略：QcloudCollApiKeyManageAccess（子账号自助管理自身密钥必需）
3. 可选添加QcloudCDNReadOnlyAccess（CDN 查询权限，保持最小权限）

子账号自助重置步骤

1. 子账号登录控制台，访问API 密钥管理页
2. 同主账号操作：禁用旧密钥 → 删除旧密钥 → 新建密钥
3. 保存新密钥并更新业务系统，完成后清理旧密钥
4. 注意：子账号仅能管理自身密钥，无法操作其他子账号

四、重置后的关键配置与验证

1. 权限校验（防止重置后权限异常）

2. 业务系统密钥更新清单（示例）

五、安全管理与风险控制（生产环境必执行）

1. 密钥重置安全最佳实践

2. 子账号密钥数量限制与管理

• 每个子账号最多创建2 个密钥（轮换时可同时存在 2 个，确保业务不中断）
• 建议：一个密钥用于生产，一个用于测试 / 备用，避免混用

六、常见问题与解决方案

1. 子账号无法创建新密钥（提示 “已达上限”）

• 原因：子账号已有 2 个密钥（禁用 / 启用状态均计入）
• 解决：禁用并删除一个旧密钥，释放额度后重试

2. API 调用提示 “鉴权失败”（重置后）

• 排查步骤：
  1. 核对新 SecretId/SecretKey 是否正确（无空格 / 拼写错误）
  2. 检查密钥状态是否为启用
  3. 确认子账号权限包含QcloudCDNReadOnlyAccess
  4. 测试网络连通性（CDN API 域名：cdn.api.qcloud.com）

3. 子账号无法自助重置密钥

• 原因：主账号未授予自助管理权限
• 解决：主账号为子账号添加QcloudCollApiKeyManageAccess策略

4. 重置后业务中断

• 预防方案：
  1. 制定 “密钥轮换计划”，明确时间窗口（如凌晨低峰期）
  2. 先在测试环境验证新密钥
  3. 生产环境采用 “双密钥并行”：先配置新密钥，验证成功后再删除旧密钥

七、快速操作清单（一键核对）