騰訊云無直接 “重置” 按鈕,子賬號(hào) API 密鑰重置采用 “禁用→刪除→新建” 的標(biāo)準(zhǔn)流程(SecretKey 僅創(chuàng)建時(shí)可見���,無法直接修改)。以下分主賬號(hào)操作和子賬號(hào)自助操作兩種場(chǎng)景�,提供可直接執(zhí)行的完整步驟與安全規(guī)范。
一�、重置核心原理與準(zhǔn)備工作
- 重置本質(zhì):因 SecretKey 無法找回或修改,重置 = 創(chuàng)建新密鑰 + 淘汰舊密鑰�����,確保業(yè)務(wù)連續(xù)性需先建后刪
- 準(zhǔn)備事項(xiàng):
- 主賬號(hào)登錄權(quán)限(或子賬號(hào)擁有自助管理密鑰權(quán)限)
- 密碼管理器(保存新密鑰)
- 業(yè)務(wù)系統(tǒng)清單(需同步更新新密鑰的應(yīng)用)
- 明確子賬號(hào)所需 CDN 權(quán)限范圍(重置后保持最小權(quán)限)
二��、場(chǎng)景一:主賬號(hào)為子賬號(hào)重置 API 密鑰(推薦��,生產(chǎn)環(huán)境首選)
步驟 1:定位子賬號(hào)與密鑰管理頁
- 主賬號(hào)登錄騰訊云控制臺(tái)�,訪問CAM 用戶列表
- 找到目標(biāo)子賬號(hào)(如
cdn-operator),點(diǎn)擊用戶名進(jìn)入詳情頁
- 切換至API 密鑰標(biāo)簽頁(核心操作區(qū))
步驟 2:禁用舊密鑰(安全第一�����,防止業(yè)務(wù)中斷)
- 在 API 密鑰列表中����,找到待重置的密鑰,點(diǎn)擊操作列的禁用
- 彈出確認(rèn)框�����,勾選 “我已確認(rèn)...”��,點(diǎn)擊確定
- 驗(yàn)證:密鑰狀態(tài)變?yōu)?span style="font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-alternates: normal; font-size-adjust: none; font-kerning: auto; font-optical-sizing: auto; font-feature-settings: normal; font-variation-settings: normal; font-variant-position: normal; font-variant-emoji: normal; font-stretch: normal; font-weight: 700; line-height: 24px; flex: 0 1 auto; flex-direction: row; justify-content: normal; align-items: normal; padding: 0px; margin: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);">已禁用(此時(shí)業(yè)務(wù)會(huì)中斷�,需快速推進(jìn))
步驟 3:刪除舊密鑰(徹底淘汰,釋放額度)
- 對(duì)已禁用的密鑰����,點(diǎn)擊操作列的刪除
- 二次確認(rèn):“API 密鑰刪除后無法恢復(fù),是否繼續(xù)��?” → 點(diǎn)擊確定
- 限制說明:每個(gè)子賬號(hào)最多創(chuàng)建2 個(gè)密鑰�,刪除舊密鑰后才能新建
步驟 4:創(chuàng)建新 API 密鑰(核心步驟)
- 點(diǎn)擊 API 密鑰頁左上角新建密鑰(藍(lán)色按鈕)
- 完成主賬號(hào)二次驗(yàn)證(微信掃碼 / 短信��,安全強(qiáng)制要求)
- 系統(tǒng)生成新的SecretId和SecretKey��,彈出保存窗口
- 立即保存(不可逆):
- 復(fù)制 SecretId/SecretKey 到密碼管理器
- 點(diǎn)擊下載 CSV備份到本地安全目錄
- 點(diǎn)擊確定關(guān)閉窗口(關(guān)閉后無法再次查看該 SecretKey)
步驟 5:業(yè)務(wù)切換與舊密鑰清理
- 先更新后停用:在所有使用舊密鑰的系統(tǒng)中配置新密鑰(如 CDN 預(yù)熱查詢腳本)
- 測(cè)試新密鑰可用性(調(diào)用 DescribeCdnRefreshTasks API 驗(yàn)證權(quán)限)
- 確認(rèn)業(yè)務(wù)正常后��,徹底刪除舊密鑰(已禁用可直接刪除)
- 記錄操作:在 CAM 日志中標(biāo)記 “密鑰重置 - 子賬號(hào) xxx - 用途 xxx”
三�����、場(chǎng)景二:子賬號(hào)自助重置 API 密鑰(需主賬號(hào)授權(quán))
前置條件:主賬號(hào)授予自助管理權(quán)限
- 主賬號(hào)進(jìn)入子賬號(hào)詳情頁 → 權(quán)限標(biāo)簽 → 添加權(quán)限
- 搜索并關(guān)聯(lián)策略:QcloudCollApiKeyManageAccess(子賬號(hào)自助管理自身密鑰必需)
- 可選添加QcloudCDNReadOnlyAccess(CDN 查詢權(quán)限�,保持最小權(quán)限)
子賬號(hào)自助重置步驟
- 子賬號(hào)登錄控制臺(tái)�����,訪問API 密鑰管理頁
- 同主賬號(hào)操作:禁用舊密鑰 → 刪除舊密鑰 → 新建密鑰
- 保存新密鑰并更新業(yè)務(wù)系統(tǒng)�,完成后清理舊密鑰
- 注意:子賬號(hào)僅能管理自身密鑰,無法操作其他子賬號(hào)
四��、重置后的關(guān)鍵配置與驗(yàn)證
1. 權(quán)限校驗(yàn)(防止重置后權(quán)限異常)
| 校驗(yàn)項(xiàng) |
操作方法 |
預(yù)期結(jié)果 |
| 基礎(chǔ)權(quán)限 |
調(diào)用 CDN 預(yù)熱查詢 API |
返回 200����,任務(wù)列表正常 |
| 最小權(quán)限 |
嘗試提交預(yù)熱任務(wù)(只讀權(quán)限) |
返回 403,權(quán)限不足(符合預(yù)期) |
| 密鑰有效性 |
用新密鑰執(zhí)行DescribeCdnRefreshTasks |
成功獲取任務(wù)狀態(tài)���,無權(quán)限錯(cuò)誤 |
2. 業(yè)務(wù)系統(tǒng)密鑰更新清單(示例)
| 系統(tǒng) / 工具 |
更新位置 |
驗(yàn)證方法 |
| Python 腳本 |
代碼中 SecretId/SecretKey 變量 |
運(yùn)行腳本��,無認(rèn)證錯(cuò)誤 |
| 運(yùn)維平臺(tái) |
配置中心 / 密鑰管理系統(tǒng) |
觸發(fā)測(cè)試任務(wù)���,執(zhí)行成功 |
| 監(jiān)控工具 |
API 調(diào)用參數(shù) |
檢查監(jiān)控?cái)?shù)據(jù)是否正常采集 |
五、安全管理與風(fēng)險(xiǎn)控制(生產(chǎn)環(huán)境必執(zhí)行)
1. 密鑰重置安全最佳實(shí)踐
| 措施 |
操作要點(diǎn) |
風(fēng)險(xiǎn)規(guī)避 |
| 先建后刪 |
新密鑰驗(yàn)證通過前���,不刪除舊密鑰 |
避免業(yè)務(wù)中斷�,確保平滑切換 |
| 90 天輪換 |
定期執(zhí)行重置流程��,記錄輪換日志 |
降低長(zhǎng)期密鑰泄露風(fēng)險(xiǎn) |
| 權(quán)限最小化 |
重置后重新確認(rèn)子賬號(hào)權(quán)限��,僅保留 CDN 查詢 |
限制密鑰泄露后的影響范圍 |
| 操作審計(jì) |
開啟 CAM 日志�����,監(jiān)控密鑰創(chuàng)建 / 刪除記錄 |
追溯操作人��,發(fā)現(xiàn)異常行為 |
| 人員離職 |
立即重置相關(guān)子賬號(hào)密鑰 |
防止未授權(quán)訪問 |
2. 子賬號(hào)密鑰數(shù)量限制與管理
- 每個(gè)子賬號(hào)最多創(chuàng)建2 個(gè)密鑰(輪換時(shí)可同時(shí)存在 2 個(gè)����,確保業(yè)務(wù)不中斷)
- 建議:一個(gè)密鑰用于生產(chǎn),一個(gè)用于測(cè)試 / 備用����,避免混用
六����、常見問題與解決方案
1. 子賬號(hào)無法創(chuàng)建新密鑰(提示 “已達(dá)上限”)
- 原因:子賬號(hào)已有 2 個(gè)密鑰(禁用 / 啟用狀態(tài)均計(jì)入)
- 解決:禁用并刪除一個(gè)舊密鑰��,釋放額度后重試
2. API 調(diào)用提示 “鑒權(quán)失敗”(重置后)
- 排查步驟:
- 核對(duì)新 SecretId/SecretKey 是否正確(無空格 / 拼寫錯(cuò)誤)
- 檢查密鑰狀態(tài)是否為啟用
- 確認(rèn)子賬號(hào)權(quán)限包含
QcloudCDNReadOnlyAccess
- 測(cè)試網(wǎng)絡(luò)連通性(CDN API 域名:cdn.api.qcloud.com)
3. 子賬號(hào)無法自助重置密鑰
- 原因:主賬號(hào)未授予自助管理權(quán)限
- 解決:主賬號(hào)為子賬號(hào)添加
QcloudCollApiKeyManageAccess策略
4. 重置后業(yè)務(wù)中斷
- 預(yù)防方案:
- 制定 “密鑰輪換計(jì)劃”���,明確時(shí)間窗口(如凌晨低峰期)
- 先在測(cè)試環(huán)境驗(yàn)證新密鑰
- 生產(chǎn)環(huán)境采用 “雙密鑰并行”:先配置新密鑰��,驗(yàn)證成功后再刪除舊密鑰
七�����、快速操作清單(一鍵核對(duì))
✅ 主賬號(hào)登錄 CAM → 找到目標(biāo)子賬號(hào) → 進(jìn)入 API 密鑰頁
✅ 禁用舊密鑰 → 刪除舊密鑰 → 新建密鑰 → 保存 SecretId/SecretKey
✅ 更新所有業(yè)務(wù)系統(tǒng)的密鑰配置 → 測(cè)試 API 調(diào)用
✅ 確認(rèn)業(yè)務(wù)正常 → 完成重置 → 記錄操作日志
✅ 配置 90 天密鑰輪換提醒(生產(chǎn)環(huán)境必需) |
咨詢服務(wù)熱線:400-099-8848
