子账号如何禁用自己的API密钥？

一、前提条件（必须满足）

1. 权限要求：主账号已授予子账号包含cam:DisableApiKey权限的策略（推荐：QcloudCollApiKeyManageAccess预设策略，或之前提供的自定义 CDN 查询策略）
   • 自定义策略需包含以下权限片段：
     json

     {
         "effect": "allow",
         "action": ["cam:DisableApiKey"],
         "resource": ["*"]
     }
     
2. 操作范围：子账号只能禁用自己的API 密钥，无法操作其他账号密钥
3. 安全验证：子账号需完成身份验证（验证码 / MFA，主账号已开启安全设置）

二、控制台自助禁用步骤（30 秒完成）

1. 子账号登录腾讯云控制台，进入API 密钥管理页（或通过：访问管理 CAM → 左侧菜单「访问密钥」→「API 密钥管理」）
2. 在 API 密钥列表中，找到目标密钥（状态为启用）
3. 点击密钥右侧操作列的禁用按钮
4. 在弹出的确认窗口中，完成身份验证（短信验证码 / MFA），点击确认禁用
5. 验证结果：密钥状态变为已禁用，表示操作成功Tencent Cloud

操作截图示意

三、API/CLI 禁用方法（批量 / 自动化场景）

1. 腾讯云 CLI 命令

# 安装腾讯云CLI（已安装可跳过）
pip install tccli

# 禁用当前子账号的API密钥（无需指定TargetUin，默认操作自己的密钥）
tccli cam DisableApiKey --SecretId AKIDz8krbsJ5yKBZQpn74WFkmLPx3******* --Version 2019-01-16

• SecretId：必填，指定要禁用的 API 密钥 ID

2. API 调用示例（Python SDK）

import json
from tencentcloud.common import credential
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
from tencentcloud.cam.v20190116 import cam_client, models

# 配置子账号凭证（使用待禁用密钥或其他有效密钥）
cred = credential.Credential("子账号SecretId", "子账号SecretKey")
httpProfile = HttpProfile()
httpProfile.endpoint = "cam.tencentcloudapi.com"

clientProfile = ClientProfile()
clientProfile.httpProfile = httpProfile
client = cam_client.CamClient(cred, "", clientProfile)

# 构建请求
req = models.DisableApiKeyRequest()
params = {
    "SecretId": "要禁用的SecretId"
}
req.from_json_string(json.dumps(params))

# 发送请求并获取结果
resp = client.DisableApiKey(req)
print(resp.to_json_string())

四、禁用后的状态与影响

五、安全操作规范（生产环境必执行）

1. 禁用前检查（避免业务中断）

• ✅ 查看密钥最近使用记录（API 密钥管理页 → 「最近使用」列）
• ✅ 通知相关团队密钥即将禁用（开发 / 运维 / 测试）
• ✅ 准备备用密钥（如需要，提前创建新密钥备用）

2. 禁用操作安全措施

• ✅ 启用 MFA 双重验证（主账号在 CAM → 安全设置中开启）
• ✅ 记录操作详情（操作人、时间、SecretId）
• ✅ 禁用后立即检查业务状态（确保无关键服务依赖该密钥）

3. 常见问题与解决方案

六、快速操作清单（1 分钟核对）