主賬號如何給子賬號授權(quán)？

發(fā)布時間：2026-03-17 文章來源：本站瀏覽次數(shù)：101

主賬號對子賬號授權(quán)的核心是通過訪問管理 (CAM) 配置策略，實現(xiàn)權(quán)限最小化與安全可控。以下分 3 種主流授權(quán)場景（快速授權(quán)、精細化授權(quán)、自助密鑰管理授權(quán)），提供可直接執(zhí)行的步驟與最佳實踐，適配 CDN 查詢等常見業(yè)務(wù)需求。

一、授權(quán)核心概念與準備

策略類型：
- 系統(tǒng)預設(shè)策略：騰訊云官方提供，如QcloudCDNReadOnlyAccess（CDN 只讀）、QcloudCollApiKeyManageAccess（密鑰自助管理），適合快速授權(quán)騰訊云
- 自定義策略：按需組合權(quán)限，適合精細化管控（如僅允許查詢特定 CDN 域名）Tencent Cloud
授權(quán)原則：
- 最小權(quán)限：僅授予子賬號完成工作必需的權(quán)限，避免權(quán)限過大
- 明確范圍：指定資源（如 CDN 域名）、操作（如 DescribeCdnRefreshTasks）
- 可審計：授權(quán)操作全程記錄在 CAM 日志，便于追溯騰訊云
準備工作：
- 主賬號登錄憑證
- 目標子賬號用戶名 / UIN
- 明確子賬號所需權(quán)限清單（如 CDN 查詢 + 密鑰自助管理）

二、場景一：快速授權(quán)（系統(tǒng)預設(shè)策略，推薦 CDN 場景）

適合快速授予標準權(quán)限（如 CDN 只讀 + 密鑰自助管理），操作步驟如下：

步驟 1：進入子賬號管理頁

主賬號登錄騰訊云控制臺，訪問CAM 用戶列表
找到目標子賬號（如cdn-operator），點擊用戶名進入詳情頁，或直接點擊右側(cè)授權(quán)按鈕

步驟 2：關(guān)聯(lián)預設(shè)策略

子賬號詳情頁 → 切換至權(quán)限標簽 → 點擊添加權(quán)限
在策略列表中，搜索并勾選：
- QcloudCollApiKeyManageAccess（必需，子賬號自助管理密鑰）
- QcloudCDNReadOnlyAccess（CDN 業(yè)務(wù)必需，只讀查詢）
點擊下一步 → 完成，權(quán)限即時生效

步驟 3：驗證授權(quán)結(jié)果

子賬號重新登錄控制臺，訪問API 密鑰管理頁，確認能看到 “新建密鑰” 按鈕
子賬號調(diào)用 CDN API（如 DescribeCdnRefreshTasks），驗證返回 200 正常結(jié)果

三、場景二：精細化授權(quán)（自定義策略，適配特殊需求）

適合限制子賬號僅訪問特定 CDN 域名、執(zhí)行特定操作，步驟如下：

步驟 1：創(chuàng)建自定義 CDN 查詢策略

主賬號訪問CAM 策略管理 → 點擊新建自定義策略
選擇按策略生成器創(chuàng)建（可視化操作，降低出錯）騰訊云

配置策略：

表格

配置項	內(nèi)容	說明
效果	允許	授予權(quán)限
服務(wù)	內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)	限定 CDN 產(chǎn)品
操作	DescribeCdnRefreshTasks	僅允許查詢預熱任務(wù)
資源	qcs::cdn:::domain/xxx.com	指定可訪問的 CDN 域名（多個用逗號分隔）

輸入策略名稱（如CDN-Refresh-Task-Query）→ 點擊完成保存策略

步驟 2：關(guān)聯(lián)自定義策略到子賬號

返回用戶列表 → 子賬號詳情頁 → 權(quán)限 → 添加權(quán)限
切換至自定義策略標簽 → 勾選剛創(chuàng)建的CDN-Refresh-Task-Query
同時勾選QcloudCollApiKeyManageAccess（密鑰自助管理）→ 完成授權(quán)

四、場景三：批量授權(quán)（用戶組，適合多子賬號統(tǒng)一管理）

適合給多個子賬號授予相同權(quán)限（如多個 CDN 操作員），步驟如下：

步驟 1：創(chuàng)建用戶組并添加成員

CAM 控制臺 → 用戶組 → 新建用戶組（如cdn-team）
進入用戶組 → 添加用戶 → 勾選目標子賬號 → 確定

步驟 2：給用戶組授權(quán)

用戶組詳情頁 → 權(quán)限 → 添加權(quán)限
勾選QcloudCollApiKeyManageAccess和QcloudCDNReadOnlyAccess → 完成
后續(xù)新增子賬號只需加入該組，自動繼承權(quán)限，簡化管理

五、子賬號自助密鑰管理的關(guān)鍵授權(quán)（必配）

子賬號要自助重置 API 密鑰，必須授予QcloudCollApiKeyManageAccess權(quán)限，操作路徑：

子賬號詳情頁 → 權(quán)限 → 添加權(quán)限
搜索并勾選QcloudCollApiKeyManageAccess → 完成
該策略允許子賬號執(zhí)行：創(chuàng)建 / 禁用 / 刪除自身 API 密鑰，無法管理其他子賬號騰訊云

六、授權(quán)管理與安全最佳實踐

1. 權(quán)限驗證清單（主賬號視角）

表格

驗證項	操作方法	預期結(jié)果
策略關(guān)聯(lián)	子賬號詳情頁 → 權(quán)限	顯示已關(guān)聯(lián)的策略（如 QcloudCDNReadOnlyAccess）
密鑰權(quán)限	子賬號登錄后查看 API 密鑰頁	能看到 “新建密鑰” 按鈕（自助管理權(quán)限生效）
資源訪問	子賬號調(diào)用 CDN API	僅能訪問授權(quán)域名，無法操作未授權(quán)資源
操作審計	CAM 控制臺 → 日志 → 操作日志	記錄授權(quán) / 策略變更操作，包含操作人 / 時間

2. 授權(quán)安全規(guī)范（生產(chǎn)環(huán)境必執(zhí)行）

表格

措施	操作要點	風險規(guī)避
定期審計	每月檢查子賬號權(quán)限，移除冗余策略	防止權(quán)限泄露后擴大影響
權(quán)限回收	員工離職 / 轉(zhuǎn)崗時，立即移除相關(guān)權(quán)限	避免未授權(quán)訪問
雙因素驗證	為主賬號和子賬號開啟登錄保護	防止賬號被盜用后的權(quán)限濫用
資源隔離	自定義策略中指定具體資源（如 CDN 域名）	限制權(quán)限作用范圍
密鑰輪換	要求子賬號每 90 天重置一次 API 密鑰	降低長期密鑰泄露風險

七、常見授權(quán)問題與解決方案

1. 子賬號看不到 “新建密鑰” 按鈕（權(quán)限不足）

原因：未授予QcloudCollApiKeyManageAccess權(quán)限
解決：主賬號按場景一的步驟，給子賬號添加該策略，刷新頁面后重試騰訊云

2. 子賬號調(diào)用 CDN API 提示 “權(quán)限不足”

排查步驟：
1. 確認子賬號已關(guān)聯(lián)QcloudCDNReadOnlyAccess策略
2. 檢查策略是否限制了資源（如僅授權(quán)特定域名）
3. 驗證 API 調(diào)用參數(shù)中的域名是否在授權(quán)范圍內(nèi)
4. 重新授權(quán)并等待 5 分鐘（權(quán)限生效可能有延遲）

3. 自定義策略配置錯誤導致權(quán)限異常

解決：
1. 使用策略生成器重新創(chuàng)建，避免語法錯誤
2. 參考騰訊云 CDN 權(quán)限文檔配置標準權(quán)限
3. 先在測試子賬號驗證策略有效性，再應用到生產(chǎn)環(huán)境

八、快速操作清單（主賬號一鍵核對）

✅ 進入 CAM 用戶列表 → 找到目標子賬號 → 點擊授權(quán)

✅ 勾選 QcloudCollApiKeyManageAccess + QcloudCDNReadOnlyAccess → 完成

✅ 驗證子賬號能看到 “新建密鑰” 按鈕，CDN API 調(diào)用正常

✅ 記錄授權(quán)日志，定期審計權(quán)限

✅ 配置子賬號 90 天密鑰輪換提醒

上一條：如何刪除子賬號的API密...

下一條：如何重置子賬號的API密...