查看 API 密鑰需區(qū)分主賬號(hào)代查和子賬號(hào)自查兩種場(chǎng)景�����,核心差異在于:主賬號(hào)可查看子賬號(hào)的SecretId(無法查看 SecretKey),子賬號(hào)可查看自己的SecretId�����,但SecretKey 僅在創(chuàng)建時(shí)可見一次��,后續(xù)無法再次查看����。以下是完整操作指南與安全規(guī)范����。
一�����、主賬號(hào)查看子賬號(hào) API 密鑰(代查權(quán)限)
前提條件
- 主賬號(hào)擁有cam:ListApiKeys和cam:GetApiKey權(quán)限(默認(rèn)擁有管理員權(quán)限)
- 知道目標(biāo)子賬號(hào)的用戶名 / UIN
控制臺(tái)操作步驟(1 分鐘完成)
- 主賬號(hào)登錄騰訊云控制臺(tái)�����,進(jìn)入訪問管理 CAM
- 左側(cè)菜單:用戶 → 用戶列表
- 找到目標(biāo)子賬號(hào)�����,點(diǎn)擊用戶名進(jìn)入詳情頁
- 切換至API 密鑰標(biāo)簽頁,查看子賬號(hào)所有 API 密鑰信息騰訊云
- 可查看:SecretId��、密鑰狀態(tài)(啟用 / 禁用)���、創(chuàng)建時(shí)間���、最近使用時(shí)間
- 不可查看:SecretKey(出于安全��,騰訊云不存儲(chǔ)明文 SecretKey)
- 如需復(fù)制 SecretId�����,點(diǎn)擊密鑰右側(cè)復(fù)制按鈕
API/CLI 查詢方法(批量場(chǎng)景)
# 安裝騰訊云CLI(已安裝可跳過)
pip install tccli
# 查詢指定子賬號(hào)的API密鑰列表(僅返回SecretId)
tccli cam ListApiKeys --Version 2019-01-16 --TargetUin 100000000001
參數(shù)說明:
- TargetUin:必填���,子賬號(hào)的 UIN(主賬號(hào)查詢子賬號(hào)密鑰時(shí)必須指定)
- 返回結(jié)果:包含子賬號(hào)所有 API 密鑰的 SecretId�、狀態(tài)�、創(chuàng)建時(shí)間等信息
二、子賬號(hào)自助查看 API 密鑰(自查權(quán)限)
前提條件
- 主賬號(hào)已授予子賬號(hào)QcloudCollApiKeyManageAccess預(yù)設(shè)策略(或包含
cam:ListApiKeys權(quán)限的自定義策略)
- 子賬號(hào)只能查看自己的API 密鑰�����,無法查看其他賬號(hào)密鑰
控制臺(tái)操作步驟(30 秒完成)
- 子賬號(hào)登錄騰訊云控制臺(tái)�����,進(jìn)入API 密鑰管理頁(或通過:訪問管理 CAM → 左側(cè)菜單「訪問密鑰」→「API 密鑰管理」)
- 在 API 密鑰列表中,查看自己的密鑰信息騰訊云
- 可查看:SecretId����、密鑰狀態(tài)、創(chuàng)建時(shí)間��、最近使用記錄
- 不可查看:SecretKey(創(chuàng)建后無法再次查看����,需提前保存)
- 如需復(fù)制 SecretId,點(diǎn)擊右側(cè)復(fù)制按鈕
權(quán)限驗(yàn)證方法
子賬號(hào)登錄后����,若能看到 API 密鑰管理頁面的密鑰列表,說明權(quán)限已正確授予�����;若看不到�,需主賬號(hào)檢查并添加QcloudCollApiKeyManageAccess策略。
三�����、API 密鑰查看的核心限制與安全設(shè)計(jì)
| 查看主體 |
可查看內(nèi)容 |
不可查看內(nèi)容 |
安全設(shè)計(jì)目的 |
| 主賬號(hào) |
SecretId、密鑰狀態(tài)�、使用記錄 |
SecretKey |
防止主賬號(hào)權(quán)限過大導(dǎo)致密鑰泄露 |
| 子賬號(hào) |
SecretId、密鑰狀態(tài)�����、使用記錄 |
SecretKey(創(chuàng)建后不可見) |
避免密鑰長(zhǎng)期暴露��,降低泄露風(fēng)險(xiǎn) |
| 所有賬號(hào) |
無 |
明文 SecretKey |
騰訊云僅存儲(chǔ) SecretKey 的加密哈希值����,不存儲(chǔ)明文 |
關(guān)鍵提示:SecretKey 的查看時(shí)機(jī)
- SecretKey 僅在創(chuàng)建時(shí)可見一次�,創(chuàng)建成功后頁面會(huì)提示 “請(qǐng)立即保存 SecretId 和 SecretKey,SecretKey 將無法再次顯示”
- 若子賬號(hào)未保存 SecretKey�,無法通過任何方式找回,只能通過 “重置 API 密鑰” 生成新密鑰(會(huì)導(dǎo)致舊密鑰失效)
四���、查看密鑰的安全操作規(guī)范(生產(chǎn)環(huán)境必執(zhí)行)
1. 查看前安全檢查
- ✅ 確認(rèn)操作必要性(避免無關(guān)人員查看密鑰信息)
- ✅ 啟用主賬號(hào) MFA 雙重驗(yàn)證(CAM → 安全設(shè)置中開啟)
- ✅ 記錄查看操作(操作人�、時(shí)間�、SecretId)
2. 密鑰信息管理規(guī)范
- ✅ 禁止截圖保存 SecretId(避免泄露)
- ✅ 復(fù)制 SecretId 后立即粘貼到安全文檔(如加密的密碼管理器)
- ✅ 定期清理未使用的密鑰(降低安全風(fēng)險(xiǎn))
3. 常見問題與解決方案
| 問題 |
原因 |
解決方法 |
| 子賬號(hào)看不到 API 密鑰管理頁面 |
缺少cam:ListApiKeys權(quán)限 |
主賬號(hào)為其添加QcloudCollApiKeyManageAccess策略 |
| 主賬號(hào)無法查看子賬號(hào)密鑰 |
主賬號(hào)權(quán)限不足 |
檢查主賬號(hào)是否擁有管理員權(quán)限����,或添加QcloudCamFullAccess策略 |
| 子賬號(hào)忘記 SecretKey |
SecretKey 創(chuàng)建后未保存 |
子賬號(hào)自助重置 API 密鑰(生成新密鑰��,舊密鑰失效) |
| 主賬號(hào)需要子賬號(hào) SecretKey |
主賬號(hào)無法查看 SecretKey |
讓子賬號(hào)自行重置 API 密鑰���,并提供新的 SecretKey(需驗(yàn)證身份) |
五��、快速操作清單(1 分鐘核對(duì))
✅ 確認(rèn)查看場(chǎng)景(主賬號(hào)代查 / 子賬號(hào)自查)
✅ 檢查賬號(hào)權(quán)限(主賬號(hào)管理員權(quán)限 / 子賬號(hào) API 密鑰管理權(quán)限)
✅ 進(jìn)入對(duì)應(yīng)頁面(子賬號(hào)詳情頁 / API 密鑰管理頁)
✅ 查看并復(fù)制 SecretId(不涉及 SecretKey)
✅ 記錄操作并關(guān)閉頁面(防止密鑰信息暴露) |
咨詢服務(wù)熱線:400-099-8848
