CAM授权协作者账号操作CVM
- 2020 年 4 月 4 日
- 筆記

一、制定策略
1.1创建策略
https://console.cloud.tencent.com/cam/policy

访问管理中点击新建自定义策略。
1.2按策略语法创建策略

1.3 选择空白模板

1.4 编写策略代码
参考代码如下,可直接复制,然后核对标红部分(resource)中的信息是否需要修改,主要需要核对资源信息是否匹配。
如以下代码,是允许对UIN为190736768的账号下的广州(gz)地域的云服务器ins-0gjxiydk进行操作。
{ "version": "2.0", "statement": [ { "effect": "allow", "action": [ "*", "vpc:DescribeBandwidthPackages", "cvm:DescribeImages" ], "resource": [ "qcs::cvm:gz::instance/ins-0gjxiydk", "qcs::vpc:gz:uin/100002649629:bwp/*", "qcs::cvm:gz:uin/100002649629:image/*" ] }, { "effect": "deny", "action": "cam:*", "resource": "*", "condition": { "string_equal_if_exist": { "isResourceManager": "1" } } }, { "effect": "deny", "action": "finance:*", "resource": "*" } ] }
确认代码后,点击保存创建策略语法即可。

注:以上代码实现的策略为:允许是允许对UIN为190736768的账号下的广州(gz)地域的云服务器ins-0gjxiydk进行操作。包括登录、开关机、重启、修改备注名称、重装系统、重置密码等常规操作。
二、将策略赋予协作者账号
在访问管理的用户列表中
https://console.cloud.tencent.com/cam

找到对应的协作者,点击授权。
然后搜索所创建的策略,然后确定即可。

三、控制台操作权限不足时的调整
3.1当发现控制台中的某个操作没有权限时,首先确认页面中的operation 以及resource

3.2然后在访问管理的策略中找到赋予协作者账号的策略,

3.3点击策略语法右上角的编辑,将控制台中提示的operation中的内容提供在action中,将resource中的内容填写到resource中:

然后保存即可,即添加了新的策略进去。
同理,若要删除策略,则将action和resource删除即可。
若希望增加实例(如增加一个服务器的管理),那么增加resource信息即可。