一、核心前提：獲取自助管理密鑰權(quán)限

主賬號(hào)需授予的權(quán)限策略

二、自助重置完整操作步驟（子賬號(hào)視角）

步驟 1：登錄控制臺(tái)并進(jìn)入密鑰管理頁

1. 用子賬號(hào)憑證登錄騰訊云控制臺(tái)
2. 點(diǎn)擊右上角用戶頭像 → 選擇訪問管理（或直接訪問CAM 控制臺(tái)）
3. 左側(cè)導(dǎo)航欄選擇訪問密鑰 → API 密鑰管理（子賬號(hào)專屬密鑰管理入口）騰訊云
4. 確認(rèn)頁面顯示的是當(dāng)前子賬號(hào)的密鑰列表（非主賬號(hào)密鑰）

步驟 2：禁用舊密鑰（安全優(yōu)先，避免誤刪導(dǎo)致業(yè)務(wù)中斷）

1. 在密鑰列表中，找到待重置的密鑰，點(diǎn)擊操作列的禁用
2. 彈出確認(rèn)框，勾選 “我已確認(rèn)禁用此 API 密鑰”，點(diǎn)擊確定
3. 驗(yàn)證：密鑰狀態(tài)變?yōu)?span style="font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-alternates: normal; font-size-adjust: none; font-kerning: auto; font-optical-sizing: auto; font-feature-settings: normal; font-variation-settings: normal; font-variant-position: normal; font-variant-emoji: normal; font-stretch: normal; font-weight: 700; line-height: 24px; flex: 0 1 auto; flex-direction: row; justify-content: normal; align-items: normal; padding: 0px; margin: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);">已禁用（此時(shí)使用舊密鑰的業(yè)務(wù)會(huì)中斷，需快速推進(jìn)后續(xù)步驟）

步驟 3：刪除舊密鑰（釋放密鑰額度，為新建做準(zhǔn)備）

1. 對(duì)已禁用的密鑰，點(diǎn)擊操作列的刪除
2. 二次確認(rèn)：“API 密鑰刪除后無法恢復(fù)，是否繼續(xù)？” → 點(diǎn)擊確定
3. 限制說明：每個(gè)子賬號(hào)最多創(chuàng)建2 個(gè)密鑰（禁用 / 啟用狀態(tài)均計(jì)入額度），必須刪除舊密鑰才能新建Tencent Cloud

步驟 4：創(chuàng)建新 API 密鑰（核心操作，獲取新憑證）

1. 點(diǎn)擊頁面左上角新建密鑰（藍(lán)色按鈕，權(quán)限足夠時(shí)才會(huì)顯示）
2. 完成子賬號(hào)二次驗(yàn)證（根據(jù)主賬號(hào)安全設(shè)置，可能是短信 / 郵箱驗(yàn)證）
3. 系統(tǒng)生成新的SecretId（如AKIDz8krbsJ5yKBZQpn74WFkmLPx3*******）和SecretKey（如Gu5t9xGARNpq86cd98joQYCN3*******），彈出保存窗口
4. 立即保存（不可逆操作，關(guān)閉彈窗后無法再次查看 SecretKey）：
   • 復(fù)制 SecretId 和 SecretKey 到密碼管理器（如 1Password、LastPass）
   • 點(diǎn)擊下載 CSV 文件，備份到本地安全目錄（建議加密存儲(chǔ)）
5. 點(diǎn)擊確定關(guān)閉窗口（完成新密鑰創(chuàng)建）

步驟 5：業(yè)務(wù)切換與舊密鑰清理（確保業(yè)務(wù)連續(xù)性）

1. 先更新后停用：在所有使用舊密鑰的系統(tǒng)中配置新密鑰（如 CDN 預(yù)熱查詢腳本、運(yùn)維平臺(tái)、監(jiān)控工具）
2. 測試新密鑰可用性（以 CDN 緩存預(yù)熱任務(wù)查詢?yōu)槔�）�?
   python

   運(yùn)行

   # 新密鑰測試腳本（子賬號(hào)視角）
   import requests
   import time
   import hmac
   import hashlib
   import base64
   
   secret_id = "新SecretId"  # 替換為新生成的SecretId
   secret_key = "新SecretKey"  # 替換為新生成的SecretKey
   timestamp = int(time.time())
   nonce = 123456
   
   params = {
       "Action": "DescribeCdnRefreshTasks",
       "SecretId": secret_id,
       "Timestamp": timestamp,
       "Nonce": nonce,
       "SignatureMethod": "HmacSHA256",
       "TaskType": "preload"  # 僅查詢預(yù)熱任務(wù)
   }
   
   # 生成簽名（省略算法實(shí)現(xiàn)，可參考騰訊云API文檔）
   # ...
   
   response = requests.get("https://cdn.api.qcloud.com/v2/index.php", params=params)
   print(response.json())
   
3. 驗(yàn)證結(jié)果：返回 200 狀態(tài)碼和任務(wù)列表，說明新密鑰權(quán)限正常
4. 確認(rèn)業(yè)務(wù)正常后，徹底刪除舊密鑰（已禁用狀態(tài)可直接刪除），完成重置流程

三、重置后的關(guān)鍵驗(yàn)證與安全規(guī)范

1. 權(quán)限與密鑰有效性驗(yàn)證清單

2. 子賬號(hào)密鑰安全管理最佳實(shí)踐

四、常見問題與解決方案（子賬號(hào)視角）

1. 無法看到 “新建密鑰” 按鈕（權(quán)限不足）

• 原因：主賬號(hào)未授予QcloudCollApiKeyManageAccess權(quán)限
• 解決：
  1. 聯(lián)系主賬號(hào)添加該權(quán)限策略
  2. 主賬號(hào)操作路徑：子賬號(hào)詳情頁 → 權(quán)限 → 添加權(quán)限 → 搜索并關(guān)聯(lián)QcloudCollApiKeyManageAccess
  3. 刷新頁面后重試Tencent Cloud

2. 新建密鑰提示 “已達(dá)密鑰上限”

• 原因：子賬號(hào)已有 2 個(gè)密鑰（禁用 / 啟用狀態(tài)均計(jì)入）
• 解決：
  1. 檢查密鑰列表，找到未使用的冗余密鑰
  2. 先禁用再刪除冗余密鑰，釋放額度
  3. 重新嘗試新建密鑰Tencent Cloud

3. API 調(diào)用提示 “鑒權(quán)失敗”（重置后）

• 排查步驟：
  1. 核對(duì)新 SecretId/SecretKey 是否正確（無空格、拼寫錯(cuò)誤或大小寫錯(cuò)誤）
  2. 檢查密鑰狀態(tài)是否為啟用
  3. 確認(rèn)子賬號(hào)權(quán)限包含QcloudCDNReadOnlyAccess
  4. 測試網(wǎng)絡(luò)連通性（CDN API 域名：cdn.api.qcloud.com）
  5. 檢查 API 請(qǐng)求簽名是否正確（可使用騰訊云 SDK 自動(dòng)生成簽名）

4. 子賬號(hào)無法登錄控制臺(tái)（重置過程中）

• 原因：可能是主賬號(hào)限制了子賬號(hào)的控制臺(tái)訪問權(quán)限
• 解決：
  1. 聯(lián)系主賬號(hào)確認(rèn)子賬號(hào)的控制臺(tái)訪問權(quán)限是否開啟
  2. 若僅需 API 調(diào)用，可通過主賬號(hào)協(xié)助重置密鑰（主賬號(hào)視角操作）
  3. 或使用 API 方式重置密鑰（需已掌握舊密鑰的調(diào)用權(quán)限）

五、快速操作清單（子賬號(hào)一鍵核對(duì)）