云访问安全代理
有奖捉虫:行业应用 & 管理与支持文档专题 HOT
文档中心 > 云访问安全代理 > 操作指南 > 授权管理 > 账号授权管理

账号授权管理

最近更新时间:2024-01-12 14:23:11

我的收藏

本页目录:

本文档将介绍如何通过故障反馈关联策略以解除权限问题,解除权限问题后,子账号将在新设置的权限范围内管理主账号下的资源。

现象描述

当子账号访问云访问安全代理控制台时,产生如下提示:
?
?

解决思路

如您愿意授权子账号继续进行操作,您可以参见 操作步骤 为其关联以下任意预设策略:
QcloudCASBFullAccess 云访问安全代理(CASB)全读写访问权限。
QcloudCASBReadOnlyAccess 云访问安全代理(CASB)只读访问权限。
在使用云访问安全代理元数据功能时,会调用 VPC、云产品(MySQL/TDSQL/MariaDB)、CVM 及 LB 的资源,故子账号在使用时,需同步关联如下预设策略:
QcloudTAGReadOnlyAccess 标签(TAG)只读访问权限。
cloudVPCReadOnlyAccess 私有网络(VPC)只读访问权限。
QcloudCVMInnerReadOnlyAccess 云服务器(CVM)只读访问权限。
QcloudCLBReadOnlyAccess 负载均衡(CLB)只读访问权限。
QcloudKMSReadOnlyAccess 密钥管理系统(KMS)只读访问权限。
对于云产品类的权限,根据子账号所关联的云产品库类型进行关联策略:
QcloudMariaDBReadOnlyAccess 云数据库 MariaDB 只读访问权限。
QcloudTDSQLReadOnlyAccess TDSQL MySQL 版(TDSQL for MySQL)只读访问权限。

前提条件

相关服务角色授权需要使用“主账号”或“拥有访问管理读写权限的账号”完成。
说明
主账号需拥有访问管理读写权限,同时可以在 访问管理 中给相应子账号分配访问管理读写权限。

操作步骤

以添加 QcloudCASBFullAccess 权限为例进行说明:
1. 登录 访问管理控制台,在左侧导航中,单击策略,进入策略页面。
2. 在策略页面的搜索框中,输入策略名称,如“QcloudCASBFullAccess”进行搜索。
3. 在“QcloudCASBFullAccess”策略的右侧操作栏中,单击关联用户/组
?
?
4. 在“关联用户/用户组”页面,选中需要配置权限的子用户,单击确定即可。
?
5. ?

注意事项

在使用 CASB 产品中,对于子账号的权限需要进行严格限制时,需保证子账号具有如下权限:
cam:GetRole
cam:ListAttachedRolePolicies
kms:GetServiceStatus
cvm:DescribeInstances
clb:DescribeLoadBalancers
cdb:DescribeDBInstances
cdb:DescribeRoGroups
mariadb:DescribeDBInstances
mariadb:DescribeDcnDetail
dcdb:DescribeDCDBInstances
dcdb:DescribeDcnDetail
postgres:DescribeDBInstances
cynosdb:DescribeInstances
cynosdb:DescribeInstanceDetail
cynosdb:DescribeClusterInstanceGrps
cynosdb:DescribeClusters
postgres:DescribeReadOnlyGroups
cos:GetService

相关文档

角色授权
KMS开通指南
中国站


http://www.vxiaotou.com