騰訊云無直接 “重置” 按鈕,子賬號 API 密鑰重置采用 “禁用→刪除→新建” 的標準流程(SecretKey 僅創(chuàng)建時可見���,無法直接修改)��。以下分主賬號操作和子賬號自助操作兩種場景,提供可直接執(zhí)行的完整步驟與安全規(guī)范�����。
一�����、重置核心原理與準備工作
- 重置本質(zhì):因 SecretKey 無法找回或修改,重置 = 創(chuàng)建新密鑰 + 淘汰舊密鑰�����,確保業(yè)務(wù)連續(xù)性需先建后刪
- 準備事項:
- 主賬號登錄權(quán)限(或子賬號擁有自助管理密鑰權(quán)限)
- 密碼管理器(保存新密鑰)
- 業(yè)務(wù)系統(tǒng)清單(需同步更新新密鑰的應(yīng)用)
- 明確子賬號所需 CDN 權(quán)限范圍(重置后保持最小權(quán)限)
二����、場景一:主賬號為子賬號重置 API 密鑰(推薦,生產(chǎn)環(huán)境首選)
步驟 1:定位子賬號與密鑰管理頁
- 主賬號登錄騰訊云控制臺���,訪問CAM 用戶列表
- 找到目標子賬號(如
cdn-operator)��,點擊用戶名進入詳情頁
- 切換至API 密鑰標簽頁(核心操作區(qū))
步驟 2:禁用舊密鑰(安全第一,防止業(yè)務(wù)中斷)
- 在 API 密鑰列表中��,找到待重置的密鑰����,點擊操作列的禁用
- 彈出確認框,勾選 “我已確認...”���,點擊確定
- 驗證:密鑰狀態(tài)變?yōu)?span style="font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-alternates: normal; font-size-adjust: none; font-kerning: auto; font-optical-sizing: auto; font-feature-settings: normal; font-variation-settings: normal; font-variant-position: normal; font-variant-emoji: normal; font-stretch: normal; font-weight: 700; line-height: 24px; flex: 0 1 auto; flex-direction: row; justify-content: normal; align-items: normal; padding: 0px; margin: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);">已禁用(此時業(yè)務(wù)會中斷�,需快速推進)
步驟 3:刪除舊密鑰(徹底淘汰,釋放額度)
- 對已禁用的密鑰�����,點擊操作列的刪除
- 二次確認:“API 密鑰刪除后無法恢復(fù)���,是否繼續(xù)��?” → 點擊確定
- 限制說明:每個子賬號最多創(chuàng)建2 個密鑰����,刪除舊密鑰后才能新建
步驟 4:創(chuàng)建新 API 密鑰(核心步驟)
- 點擊 API 密鑰頁左上角新建密鑰(藍色按鈕)
- 完成主賬號二次驗證(微信掃碼 / 短信����,安全強制要求)
- 系統(tǒng)生成新的SecretId和SecretKey,彈出保存窗口
- 立即保存(不可逆):
- 復(fù)制 SecretId/SecretKey 到密碼管理器
- 點擊下載 CSV備份到本地安全目錄
- 點擊確定關(guān)閉窗口(關(guān)閉后無法再次查看該 SecretKey)
步驟 5:業(yè)務(wù)切換與舊密鑰清理
- 先更新后停用:在所有使用舊密鑰的系統(tǒng)中配置新密鑰(如 CDN 預(yù)熱查詢腳本)
- 測試新密鑰可用性(調(diào)用 DescribeCdnRefreshTasks API 驗證權(quán)限)
- 確認業(yè)務(wù)正常后��,徹底刪除舊密鑰(已禁用可直接刪除)
- 記錄操作:在 CAM 日志中標記 “密鑰重置 - 子賬號 xxx - 用途 xxx”
三����、場景二:子賬號自助重置 API 密鑰(需主賬號授權(quán))
前置條件:主賬號授予自助管理權(quán)限
- 主賬號進入子賬號詳情頁 → 權(quán)限標簽 → 添加權(quán)限
- 搜索并關(guān)聯(lián)策略:QcloudCollApiKeyManageAccess(子賬號自助管理自身密鑰必需)
- 可選添加QcloudCDNReadOnlyAccess(CDN 查詢權(quán)限,保持最小權(quán)限)
子賬號自助重置步驟
- 子賬號登錄控制臺�����,訪問API 密鑰管理頁
- 同主賬號操作:禁用舊密鑰 → 刪除舊密鑰 → 新建密鑰
- 保存新密鑰并更新業(yè)務(wù)系統(tǒng),完成后清理舊密鑰
- 注意:子賬號僅能管理自身密鑰���,無法操作其他子賬號
四�、重置后的關(guān)鍵配置與驗證
1. 權(quán)限校驗(防止重置后權(quán)限異常)
| 校驗項 |
操作方法 |
預(yù)期結(jié)果 |
| 基礎(chǔ)權(quán)限 |
調(diào)用 CDN 預(yù)熱查詢 API |
返回 200����,任務(wù)列表正常 |
| 最小權(quán)限 |
嘗試提交預(yù)熱任務(wù)(只讀權(quán)限) |
返回 403,權(quán)限不足(符合預(yù)期) |
| 密鑰有效性 |
用新密鑰執(zhí)行DescribeCdnRefreshTasks |
成功獲取任務(wù)狀態(tài)��,無權(quán)限錯誤 |
2. 業(yè)務(wù)系統(tǒng)密鑰更新清單(示例)
| 系統(tǒng) / 工具 |
更新位置 |
驗證方法 |
| Python 腳本 |
代碼中 SecretId/SecretKey 變量 |
運行腳本����,無認證錯誤 |
| 運維平臺 |
配置中心 / 密鑰管理系統(tǒng) |
觸發(fā)測試任務(wù),執(zhí)行成功 |
| 監(jiān)控工具 |
API 調(diào)用參數(shù) |
檢查監(jiān)控數(shù)據(jù)是否正常采集 |
五���、安全管理與風險控制(生產(chǎn)環(huán)境必執(zhí)行)
1. 密鑰重置安全最佳實踐
| 措施 |
操作要點 |
風險規(guī)避 |
| 先建后刪 |
新密鑰驗證通過前���,不刪除舊密鑰 |
避免業(yè)務(wù)中斷�,確保平滑切換 |
| 90 天輪換 |
定期執(zhí)行重置流程,記錄輪換日志 |
降低長期密鑰泄露風險 |
| 權(quán)限最小化 |
重置后重新確認子賬號權(quán)限��,僅保留 CDN 查詢 |
限制密鑰泄露后的影響范圍 |
| 操作審計 |
開啟 CAM 日志�����,監(jiān)控密鑰創(chuàng)建 / 刪除記錄 |
追溯操作人,發(fā)現(xiàn)異常行為 |
| 人員離職 |
立即重置相關(guān)子賬號密鑰 |
防止未授權(quán)訪問 |
2. 子賬號密鑰數(shù)量限制與管理
- 每個子賬號最多創(chuàng)建2 個密鑰(輪換時可同時存在 2 個�����,確保業(yè)務(wù)不中斷)
- 建議:一個密鑰用于生產(chǎn)�����,一個用于測試 / 備用�����,避免混用
六�����、常見問題與解決方案
1. 子賬號無法創(chuàng)建新密鑰(提示 “已達上限”)
- 原因:子賬號已有 2 個密鑰(禁用 / 啟用狀態(tài)均計入)
- 解決:禁用并刪除一個舊密鑰�,釋放額度后重試
2. API 調(diào)用提示 “鑒權(quán)失敗”(重置后)
- 排查步驟:
- 核對新 SecretId/SecretKey 是否正確(無空格 / 拼寫錯誤)
- 檢查密鑰狀態(tài)是否為啟用
- 確認子賬號權(quán)限包含
QcloudCDNReadOnlyAccess
- 測試網(wǎng)絡(luò)連通性(CDN API 域名:cdn.api.qcloud.com)
3. 子賬號無法自助重置密鑰
- 原因:主賬號未授予自助管理權(quán)限
- 解決:主賬號為子賬號添加
QcloudCollApiKeyManageAccess策略
4. 重置后業(yè)務(wù)中斷
- 預(yù)防方案:
- 制定 “密鑰輪換計劃”,明確時間窗口(如凌晨低峰期)
- 先在測試環(huán)境驗證新密鑰
- 生產(chǎn)環(huán)境采用 “雙密鑰并行”:先配置新密鑰�,驗證成功后再刪除舊密鑰
七、快速操作清單(一鍵核對)
✅ 主賬號登錄 CAM → 找到目標子賬號 → 進入 API 密鑰頁
✅ 禁用舊密鑰 → 刪除舊密鑰 → 新建密鑰 → 保存 SecretId/SecretKey
✅ 更新所有業(yè)務(wù)系統(tǒng)的密鑰配置 → 測試 API 調(diào)用
✅ 確認業(yè)務(wù)正常 → 完成重置 → 記錄操作日志
✅ 配置 90 天密鑰輪換提醒(生產(chǎn)環(huán)境必需) |
咨詢服務(wù)熱線:400-099-8848
