删除 API 密钥是高风险操作,删除后不可恢复,且所有使用该密钥的请求将被永久拒绝。请务必先禁用密钥观察业务影响,再执行删除操作。以下分主账号代删和子账号自助删除两种场景,提供完整操作指南。
一、主账号删除子账号 API 密钥(全权限操作)
前提条件
- 主账号拥有cam:DeleteApiKey权限(默认拥有)
- 知道目标子账号的用户名 / UIN
操作步骤(控制台)
- 主账号登录腾讯云控制台,进入访问管理 CAM
- 左侧菜单:用户 → 用户列表
- 找到目标子账号,点击用户名进入详情页
- 切换至API 密钥标签页,进入子账号 API 密钥管理界面
- 对目标密钥执行操作:
- 若密钥为启用状态:先点击禁用 → 确认禁用
- 若密钥已禁用:直接点击删除
- 在弹出的确认窗口中,输入验证码(或完成 MFA 验证),点击删除完成操作Tencent Cloud
操作步骤(API/CLI,批量删除场景)
# 安装腾讯云CLI并配置主账号凭证
pip install tccli
# 删除指定子账号的API密钥(SecretId)
tccli cam DeleteAccessKey --SecretId AKIDz8krbsJ5yKBZQpn74WFkmLPx3******* --Version 2019-01-16 --TargetUin 100000000001
参数说明:
- SecretId:要删除的 API 密钥 ID
- TargetUin:子账号的 UIN(主账号删除子账号密钥时必须指定)Tencent Cloud
二、子账号自助删除 API 密钥(需授权)
前提条件
- 主账号已授予子账号QcloudCollApiKeyManageAccess策略(或包含
cam:DeleteApiKey权限的自定义策略)
- 子账号只能删除自己的API 密钥,无法删除其他账号密钥
操作步骤(控制台)
- 子账号登录腾讯云控制台,进入API 密钥管理页
- 找到目标密钥,执行操作:
- 启用状态:先禁用 → 确认
- 禁用状态:直接点击删除
- 完成身份验证(验证码 / MFA),点击删除确认Tencent Cloud
子账号权限验证
子账号登录后,若能看到 API 密钥管理页面的删除按钮,说明权限已正确授予;若看不到,需主账号检查并添加QcloudCollApiKeyManageAccess策略。
三、删除密钥的安全规范(生产环境必执行)
| 操作阶段 |
安全措施 |
风险规避 |
| 删除前 |
1. 禁用密钥并观察 24-72 小时
2. 检查密钥最近使用记录(CAM 控制台 → 密钥管理 → 最近使用)
3. 通知相关开发 / 运维团队密钥即将删除 |
防止业务中断,确认密钥无正在使用的场景 |
| 删除中 |
1. 启用 MFA 验证
2. 记录删除操作(操作人、时间、SecretId) |
防止误删,便于审计追溯 |
| 删除后 |
1. 确认密钥已从配置文件、代码、CI/CD 工具中移除
2. 批量更新依赖该密钥的系统
3. 生成新密钥替换(如需要) |
避免残留密钥导致的安全风险 |
四、常见问题与解决方案
1. 删除失败:提示 “没有删除 API 密钥权限”
- 原因:子账号未被授予
cam:DeleteApiKey权限,或主账号操作时权限不足
- 解决:
- 主账号:检查是否拥有管理员权限
- 子账号:主账号为其添加
QcloudCollApiKeyManageAccess策略
2. 删除子账号时提示 “存在未删除 API 密钥”
- 原因:腾讯云要求删除子账号前必须先删除其 API 密钥
- 解决:
- 按上述步骤删除子账号所有 API 密钥
- 或使用 API 删除用户时指定
ForceDelete=1参数(自动删除密钥后删除用户)
3. 误删密钥如何恢复?
- 注意:API 密钥删除后不可恢复
- 补救措施:
- 立即创建新密钥
- 更新所有依赖旧密钥的系统配置
- 通知相关团队切换至新密钥Tencent Cloud
五、快速操作清单(1 分钟核对)
✅ 确认要删除的密钥 SecretId 和状态(启用 / 禁用)
✅ 先禁用密钥,观察业务是否正常
✅ 完成身份验证(验证码 / MFA)
✅ 执行删除并记录操作日志
✅ 清理所有旧密钥的配置残留 |
咨询服务热线:400-099-8848
