主账号对子账号授权的核心是通过访问管理 (CAM) 配置策略,实现权限最小化与安全可控。以下分 3 种主流授权场景(快速授权、精细化授权、自助密钥管理授权),提供可直接执行的步骤与最佳实践,适配 CDN 查询等常见业务需求。
一、授权核心概念与准备
- 策略类型:
- 系统预设策略:腾讯云官方提供,如
QcloudCDNReadOnlyAccess(CDN 只读)、QcloudCollApiKeyManageAccess(密钥自助管理),适合快速授权腾讯云
- 自定义策略:按需组合权限,适合精细化管控(如仅允许查询特定 CDN 域名)Tencent Cloud
- 授权原则:
- 最小权限:仅授予子账号完成工作必需的权限,避免权限过大
- 明确范围:指定资源(如 CDN 域名)、操作(如 DescribeCdnRefreshTasks)
- 可审计:授权操作全程记录在 CAM 日志,便于追溯腾讯云
- 准备工作:
- 主账号登录凭证
- 目标子账号用户名 / UIN
- 明确子账号所需权限清单(如 CDN 查询 + 密钥自助管理)
二、场景一:快速授权(系统预设策略,推荐 CDN 场景)
适合快速授予标准权限(如 CDN 只读 + 密钥自助管理),操作步骤如下:
步骤 1:进入子账号管理页
- 主账号登录腾讯云控制台,访问CAM 用户列表
- 找到目标子账号(如
cdn-operator),点击用户名进入详情页,或直接点击右侧授权按钮
步骤 2:关联预设策略
- 子账号详情页 → 切换至权限标签 → 点击添加权限
- 在策略列表中,搜索并勾选:
- QcloudCollApiKeyManageAccess(必需,子账号自助管理密钥)
- QcloudCDNReadOnlyAccess(CDN 业务必需,只读查询)
- 点击下一步 → 完成,权限即时生效
步骤 3:验证授权结果
- 子账号重新登录控制台,访问API 密钥管理页,确认能看到 “新建密钥” 按钮
- 子账号调用 CDN API(如 DescribeCdnRefreshTasks),验证返回 200 正常结果
三、场景二:精细化授权(自定义策略,适配特殊需求)
适合限制子账号仅访问特定 CDN 域名、执行特定操作,步骤如下:
步骤 1:创建自定义 CDN 查询策略
- 主账号访问CAM 策略管理 → 点击新建自定义策略
- 选择按策略生成器创建(可视化操作,降低出错)腾讯云
- 配置策略:
| 配置项 |
内容 |
说明 |
| 效果 |
允许 |
授予权限 |
| 服务 |
内容分发网络 (CDN) |
限定 CDN 产品 |
| 操作 |
DescribeCdnRefreshTasks |
仅允许查询预热任务 |
| 资源 |
qcs::cdn:::domain/xxx.com |
指定可访问的 CDN 域名(多个用逗号分隔) |
- 输入策略名称(如
CDN-Refresh-Task-Query)→ 点击完成保存策略
步骤 2:关联自定义策略到子账号
- 返回用户列表 → 子账号详情页 → 权限 → 添加权限
- 切换至自定义策略标签 → 勾选刚创建的
CDN-Refresh-Task-Query
- 同时勾选
QcloudCollApiKeyManageAccess(密钥自助管理)→ 完成授权
四、场景三:批量授权(用户组,适合多子账号统一管理)
适合给多个子账号授予相同权限(如多个 CDN 操作员),步骤如下:
步骤 1:创建用户组并添加成员
- CAM 控制台 → 用户组 → 新建用户组(如
cdn-team)
- 进入用户组 → 添加用户 → 勾选目标子账号 → 确定
步骤 2:给用户组授权
- 用户组详情页 → 权限 → 添加权限
- 勾选
QcloudCollApiKeyManageAccess和QcloudCDNReadOnlyAccess → 完成
- 后续新增子账号只需加入该组,自动继承权限,简化管理
五、子账号自助密钥管理的关键授权(必配)
子账号要自助重置 API 密钥,必须授予QcloudCollApiKeyManageAccess权限,操作路径:
- 子账号详情页 → 权限 → 添加权限
- 搜索并勾选
QcloudCollApiKeyManageAccess → 完成
- 该策略允许子账号执行:创建 / 禁用 / 删除自身 API 密钥,无法管理其他子账号腾讯云
六、授权管理与安全最佳实践
1. 权限验证清单(主账号视角)
| 验证项 |
操作方法 |
预期结果 |
| 策略关联 |
子账号详情页 → 权限 |
显示已关联的策略(如 QcloudCDNReadOnlyAccess) |
| 密钥权限 |
子账号登录后查看 API 密钥页 |
能看到 “新建密钥” 按钮(自助管理权限生效) |
| 资源访问 |
子账号调用 CDN API |
仅能访问授权域名,无法操作未授权资源 |
| 操作审计 |
CAM 控制台 → 日志 → 操作日志 |
记录授权 / 策略变更操作,包含操作人 / 时间 |
2. 授权安全规范(生产环境必执行)
| 措施 |
操作要点 |
风险规避 |
| 定期审计 |
每月检查子账号权限,移除冗余策略 |
防止权限泄露后扩大影响 |
| 权限回收 |
员工离职 / 转岗时,立即移除相关权限 |
避免未授权访问 |
| 双因素验证 |
为主账号和子账号开启登录保护 |
防止账号被盗用后的权限滥用 |
| 资源隔离 |
自定义策略中指定具体资源(如 CDN 域名) |
限制权限作用范围 |
| 密钥轮换 |
要求子账号每 90 天重置一次 API 密钥 |
降低长期密钥泄露风险 |
七、常见授权问题与解决方案
1. 子账号看不到 “新建密钥” 按钮(权限不足)
- 原因:未授予
QcloudCollApiKeyManageAccess权限
- 解决:主账号按场景一的步骤,给子账号添加该策略,刷新页面后重试腾讯云
2. 子账号调用 CDN API 提示 “权限不足”
- 排查步骤:
- 确认子账号已关联
QcloudCDNReadOnlyAccess策略
- 检查策略是否限制了资源(如仅授权特定域名)
- 验证 API 调用参数中的域名是否在授权范围内
- 重新授权并等待 5 分钟(权限生效可能有延迟)
3. 自定义策略配置错误导致权限异常
- 解决:
- 使用策略生成器重新创建,避免语法错误
- 参考腾讯云 CDN 权限文档配置标准权限
- 先在测试子账号验证策略有效性,再应用到生产环境
八、快速操作清单(主账号一键核对)
✅ 进入 CAM 用户列表 → 找到目标子账号 → 点击授权
✅ 勾选 QcloudCollApiKeyManageAccess + QcloudCDNReadOnlyAccess → 完成
✅ 验证子账号能看到 “新建密钥” 按钮,CDN API 调用正常
✅ 记录授权日志,定期审计权限
✅ 配置子账号 90 天密钥轮换提醒 |
咨询服务热线:400-099-8848
