一、準(zhǔn)備工作（主賬號(hào)操作）

1. 使用主賬號(hào)登錄騰訊云控制臺(tái)（子賬號(hào)無(wú)法創(chuàng)建其他子賬號(hào)）
2. 準(zhǔn)備好子賬號(hào)的基本信息（用戶名、描述）
3. 明確子賬號(hào)需要的 CDN 權(quán)限范圍（如僅查詢緩存預(yù)熱任務(wù)）
4. 準(zhǔn)備密碼管理器用于保存即將生成的密鑰

二、詳細(xì)操作步驟（主賬號(hào)視角，共 5 步）

步驟 1：創(chuàng)建子賬號(hào)（核心基礎(chǔ)）

1. 訪問(wèn)騰訊云訪問(wèn)管理 (CAM) 控制臺(tái)：https://console.cloud.tencent.com/cam
2. 左側(cè)導(dǎo)航欄選擇用戶 → 用戶列表 → 點(diǎn)擊新建用戶按鈕（藍(lán)色）
3. 選擇自定義創(chuàng)建（推薦，可精確配置權(quán)限）
4. 填寫(xiě)基本信息：
   • 用戶名：如cdn-operator（建議包含功能和角色）
   • 顯示名稱：如CDN緩存預(yù)熱管理員
   • 描述：如用于查詢和管理CDN緩存預(yù)熱任務(wù)
5. 訪問(wèn)方式設(shè)置：
   • 勾選編程訪問(wèn)（API 調(diào)用必需）
   • 可選控制臺(tái)訪問(wèn)（如需要登錄控制臺(tái)操作），設(shè)置登錄密碼和有效期
6. 點(diǎn)擊下一步進(jìn)入權(quán)限配置

步驟 2：為子賬號(hào)配置 CDN 權(quán)限（最小權(quán)限原則）

1. 權(quán)限配置頁(yè)面選擇直接關(guān)聯(lián)策略
2. 搜索并選擇適合的 CDN 權(quán)限策略：
   表格

   權(quán)限策略	適用場(chǎng)景	權(quán)限范圍
   QcloudCDNReadOnlyAccess	僅查詢預(yù)熱任務(wù)狀態(tài)	只讀，無(wú)法修改配置或提交預(yù)熱任務(wù)
   QcloudCDNFullAccess	需要管理預(yù)熱任務(wù)	完全控制 CDN 所有資源
   自定義策略	極致安全需求	僅允許調(diào)用特定 API（如 DescribeCdnRefreshTasks）
3. 建議生產(chǎn)環(huán)境使用QcloudCDNReadOnlyAccess或自定義策略
4. 點(diǎn)擊下一步 → 確認(rèn)信息 → 點(diǎn)擊完成創(chuàng)建子賬號(hào)騰訊云

步驟 3：為子賬號(hào)創(chuàng)建 API 密鑰（關(guān)鍵操作）

1. 返回用戶列表，找到剛創(chuàng)建的子賬號(hào)，點(diǎn)擊用戶名進(jìn)入詳情頁(yè)
2. 切換到API 密鑰標(biāo)簽頁(yè)
3. 點(diǎn)擊新建密鑰按鈕（藍(lán)色）
4. 完成二次驗(yàn)證（主賬號(hào)安全驗(yàn)證，如微信掃碼或短信驗(yàn)證）
5. 系統(tǒng)生成一對(duì)SecretId和SecretKey，彈出保存窗口：
   • SecretId：如AKIDz8krbsJ5yKBZQpn74WFkmLPx3*******（公開(kāi)標(biāo)識(shí)）
   • SecretKey：如Gu5t9xGARNpq86cd98joQYCN3*******（私有密鑰，僅創(chuàng)建時(shí)可見(jiàn)）
6. 立即保存：
   • 點(diǎn)擊復(fù)制按鈕，將密鑰保存到密碼管理器
   • 點(diǎn)擊下載 CSV 文件，備份到本地安全位置
7. 確認(rèn)保存成功后，點(diǎn)擊確定關(guān)閉窗口Tencent Cloud

步驟 4：驗(yàn)證密鑰可用性（推薦）

1. 使用子賬號(hào)密鑰調(diào)用 CDN 預(yù)熱任務(wù)查詢 API：
   python

   運(yùn)行

   import requests
   import time
   import hmac
   import hashlib
   import base64
   
   secret_id = "子賬號(hào)SecretId"
   secret_key = "子賬號(hào)SecretKey"
   timestamp = int(time.time())
   nonce = 123456
   
   # 構(gòu)造請(qǐng)求參數(shù)
   params = {
       "Action": "DescribeCdnRefreshTasks",
       "SecretId": secret_id,
       "Timestamp": timestamp,
       "Nonce": nonce,
       "SignatureMethod": "HmacSHA256",
       "TaskType": "preload"  # 僅查詢預(yù)熱任務(wù)
   }
   
   # 生成簽名（省略簽名算法實(shí)現(xiàn)，可參考騰訊云API文檔）
   # ...
   
   # 發(fā)送請(qǐng)求
   response = requests.get("https://cdn.api.qcloud.com/v2/index.php", params=params)
   print(response.json())
   
2. 若返回任務(wù)列表，說(shuō)明密鑰和權(quán)限配置成功
3. 若提示權(quán)限不足，返回子賬號(hào)詳情頁(yè)檢查并調(diào)整權(quán)限

步驟 5：管理子賬號(hào)密鑰（安全運(yùn)維）

1. 在子賬號(hào)API 密鑰標(biāo)簽頁(yè)可查看密鑰狀態(tài)：?jiǎn)⒂?/ 禁用
2. 支持操作：
   • 禁用：臨時(shí)禁止密鑰使用（如懷疑泄露）
   • 刪除：永久刪除密鑰（需先禁用）
   • 新建：最多可創(chuàng)建 2 個(gè)密鑰（輪換使用）Tencent Cloud

三、子賬號(hào)密鑰特殊限制與安全管理

1. 數(shù)量限制

• 每個(gè)子賬號(hào)最多創(chuàng)建2 個(gè) API 密鑰
• 如需更多密鑰，建議創(chuàng)建多個(gè)功能專一的子賬號(hào)

2. 安全最佳實(shí)踐（生產(chǎn)環(huán)境必嚴(yán)格執(zhí)行）

3. 子賬號(hào)密鑰創(chuàng)建權(quán)限說(shuō)明

• 子賬號(hào)默認(rèn)無(wú)法自行創(chuàng)建 API 密鑰，需主賬號(hào)授權(quán)
• 如需讓子賬號(hào)管理自身密鑰，主賬號(hào)需為其添加QcloudCamSubAccountAccessKeyFullAccess權(quán)限Tencent Cloud

四、常見(jiàn)問(wèn)題與解決方案

1. 子賬號(hào)無(wú)法創(chuàng)建 API 密鑰

• 原因 1：主賬號(hào)未授權(quán)子賬號(hào)創(chuàng)建密鑰權(quán)限
  解決：主賬號(hào)為子賬號(hào)添加QcloudCamSubAccountAccessKeyFullAccess權(quán)限
• 原因 2：子賬號(hào)已達(dá)到 2 個(gè)密鑰上限
  解決：禁用并刪除一個(gè)舊密鑰后重試Tencent Cloud

2. API 調(diào)用提示權(quán)限不足

• 原因：子賬號(hào)權(quán)限策略不包含所需 CDN 操作
  解決：
  1. 進(jìn)入子賬號(hào)詳情頁(yè) → 權(quán)限標(biāo)簽
  2. 點(diǎn)擊添加權(quán)限 → 選擇合適的 CDN 權(quán)限策略
  3. 確認(rèn)權(quán)限添加后重試 API 調(diào)用騰訊云

3. SecretKey 丟失或忘記保存

• 解決：無(wú)法找回已創(chuàng)建的 SecretKey，只能：
  1. 為子賬號(hào)新建一個(gè)密鑰
  2. 更新所有使用舊密鑰的應(yīng)用配置
  3. 禁用并刪除舊密鑰，避免安全風(fēng)險(xiǎn)Tencent Cloud

4. 子賬號(hào)創(chuàng)建失敗

• 可能原因：
  • 主賬號(hào)未完成實(shí)名認(rèn)證
  • 子賬號(hào)用戶名重復(fù)
  • 網(wǎng)絡(luò)問(wèn)題
• 解決：
  1. 完成主賬號(hào)實(shí)名認(rèn)證
  2. 更換唯一用戶名
  3. 刷新頁(yè)面或更換瀏覽器重試Tencent Cloud

五、快速操作清單（一鍵核對(duì)）