CAM授权协作者账号操作CVM

• 2020 年 4 月 4 日
• 筆記

一、制定策略

1.1创建策略

https://console.cloud.tencent.com/cam/policy

访问管理中点击新建自定义策略。

1.2按策略语法创建策略

1.3 选择空白模板

1.4 编写策略代码

参考代码如下，可直接复制，然后核对标红部分（resource）中的信息是否需要修改，主要需要核对资源信息是否匹配。

如以下代码，是允许对UIN为190736768的账号下的广州（gz）地域的云服务器ins-0gjxiydk进行操作。

{      "version": "2.0",      "statement": [          {              "effect": "allow",              "action": [                  "*",                  "vpc:DescribeBandwidthPackages",                  "cvm:DescribeImages"              ],              "resource": [                  "qcs::cvm:gz::instance/ins-0gjxiydk",                  "qcs::vpc:gz:uin/100002649629:bwp/*",                  "qcs::cvm:gz:uin/100002649629:image/*"              ]          },          {              "effect": "deny",              "action": "cam:*",              "resource": "*",              "condition": {                  "string_equal_if_exist": {                      "isResourceManager": "1"                  }              }          },          {              "effect": "deny",              "action": "finance:*",              "resource": "*"          }      ]  }

确认代码后，点击保存创建策略语法即可。

注：以上代码实现的策略为：允许是允许对UIN为190736768的账号下的广州（gz）地域的云服务器ins-0gjxiydk进行操作。包括登录、开关机、重启、修改备注名称、重装系统、重置密码等常规操作。

二、将策略赋予协作者账号

在访问管理的用户列表中

https://console.cloud.tencent.com/cam

找到对应的协作者，点击授权。

然后搜索所创建的策略，然后确定即可。

三、控制台操作权限不足时的调整

3.1当发现控制台中的某个操作没有权限时，首先确认页面中的operation 以及resource

3.2然后在访问管理的策略中找到赋予协作者账号的策略，

3.3点击策略语法右上角的编辑，将控制台中提示的operation中的内容提供在action中，将resource中的内容填写到resource中：

然后保存即可，即添加了新的策略进去。

同理，若要删除策略，则将action和resource删除即可。

若希望增加实例（如增加一个服务器的管理），那么增加resource信息即可。