✅ 只能查 CDN 刷新 / 预热任务
✅ 不能改配置、不能删缓存、不能加域名
✅ 子账号只能管自己的 API 密钥
最安全、生产环境推荐。
一、自定义策略授权完整步骤(主账号操作)
步骤 1:进入「策略管理」
- 主账号登录腾讯云控制台
- 打开 访问管理 CAM:
https://console.cloud.tencent.com/cam
- 左侧菜单:策略管理 → 策略
- 点击:新建自定义策略
步骤 2:选择「按策略语法创建」
- 选择:空白模板 → 下一步
- 策略名称自己写,例如:
CDN_OnlyQueryRefreshAndPush
- 把下面的 JSON 完整复制进去 即可。
二、可直接复制的自定义策略 JSON(2 选 1)
版本 A:允许查询 所有 CDN 域名 的刷新 / 预热任务(最常用)
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cdn:DescribeCdnRefreshTasks",
"cdn:DescribeCdnPushTasks"
],
"resource": [
"*"
]
},
{
"effect": "allow",
"action": [
"cam:GetAccountSummary",
"cam:ListApiKeys",
"cam:CreateApiKey",
"cam:DeleteApiKey",
"cam:DisableApiKey"
],
"resource": [
"*"
]
}
]
}
版本 B:只允许查询 指定 1 个 / 多个 CDN 域名(更安全)
把下面的 aaa.com bbb.com 换成你真实的加速域名:
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cdn:DescribeCdnRefreshTasks",
"cdn:DescribeCdnPushTasks"
],
"resource": [
"qcs::cdn:::domain/aaa.com",
"qcs::cdn:::domain/bbb.com"
]
},
{
"effect": "allow",
"action": [
"cam:GetAccountSummary",
"cam:ListApiKeys",
"cam:CreateApiKey",
"cam:DeleteApiKey",
"cam:DisableApiKey"
],
"resource": [
"*"
]
}
]
}
三、策略权限说明(你给的是最小安全权限)
这个策略只允许子账号做 4 件事:
- 查询 CDN 刷新任务
- 查询 CDN 预热任务
- 查看 / 创建 / 禁用 / 删除 自己的 API 密钥
- 禁止:添加 / 删除域名、修改配置、提交预热、提交刷新、全量 CDN 操作
四、把自定义策略授权给子账号
- 回到 CAM → 用户 → 用户列表
- 找到你的子账号 → 点右边 授权
- 选择:关联现有策略 / 自定义策略
- 搜索你刚才创建的策略名(如
CDN_OnlyQueryRefreshAndPush)
- 勾选 → 下一步 → 完成
授权 立即生效。
五、子账号验证权限(10 秒搞定)
子账号调用 API 或控制台:
- 能看:CDN 刷新记录、预热记录
- 能:自助重置自己的 API 密钥
- 不能:提交刷新、提交预热、改 CDN 配置、删域名
|
咨询服务热线:400-099-8848
