CAM授权协作者账号操作CVM

一、制定策略

1.1创建策略

https://console.cloud.tencent.com/cam/policy

访问管理中点击新建自定义策略。

1.2按策略语法创建策略

1.3 选择空白模板

1.4 编写策略代码

参考代码如下,可直接复制,然后核对标红部分(resource)中的信息是否需要修改,主要需要核对资源信息是否匹配。

如以下代码,是允许对UIN为190736768的账号下的广州(gz)地域的云服务器ins-0gjxiydk进行操作。

{      "version": "2.0",      "statement": [          {              "effect": "allow",              "action": [                  "*",                  "vpc:DescribeBandwidthPackages",                  "cvm:DescribeImages"              ],              "resource": [                  "qcs::cvm:gz::instance/ins-0gjxiydk",                  "qcs::vpc:gz:uin/100002649629:bwp/*",                  "qcs::cvm:gz:uin/100002649629:image/*"              ]          },          {              "effect": "deny",              "action": "cam:*",              "resource": "*",              "condition": {                  "string_equal_if_exist": {                      "isResourceManager": "1"                  }              }          },          {              "effect": "deny",              "action": "finance:*",              "resource": "*"          }      ]  }

确认代码后,点击保存创建策略语法即可。

注:以上代码实现的策略为:允许是允许对UIN为190736768的账号下的广州(gz)地域的云服务器ins-0gjxiydk进行操作。包括登录、开关机、重启、修改备注名称、重装系统、重置密码等常规操作。

二、将策略赋予协作者账号

在访问管理的用户列表中

https://console.cloud.tencent.com/cam

找到对应的协作者,点击授权。

然后搜索所创建的策略,然后确定即可。

三、控制台操作权限不足时的调整

3.1当发现控制台中的某个操作没有权限时,首先确认页面中的operation 以及resource

3.2然后在访问管理的策略中找到赋予协作者账号的策略,

3.3点击策略语法右上角的编辑,将控制台中提示的operation中的内容提供在action中,将resource中的内容填写到resource中:

然后保存即可,即添加了新的策略进去。

同理,若要删除策略,则将action和resource删除即可。

若希望增加实例(如增加一个服务器的管理),那么增加resource信息即可。