操作场景
您可以使用访问管理 CAM 策略让用户拥有在腾讯云区块链服务平台 TBaaS 控制台中查看和使用特定资源的权限。本文中的示例向您介绍如何使用控制台的特定策略。
操作示例
TBaaS 区块链网络实例的全读写策略
如果您希望用户拥有创建和管理 TBaaS 区块链网络实例的权限,您可以对该用户使用名称为:QcloudTBAASFullAccess 的策略。
具体操作步骤如下:
参考 授权管理,将预设策略 QcloudTBAASFullAccess 授权给用户。
TBaaS 区块链网络实例的只读策略
如果您希望用户拥有查询 TBaaS 区块链网络实例的权限,但是不具有创建、删除和修改的权限,您可以对该用户使用名称为:QcloudTBAASReadOnlyAccess 的策略。
具体操作步骤如下:
参考 授权管理,将预设策略 QcloudTBAASReadOnlyAccess 授权给用户。
授权用户拥有非资源级的 API 接口的操作权限策略
如果您希望用户拥有非资源级的 API 接口的操作权限,创建策略并将其关联到对应的用户。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["tbaas:GetTbaasKeySummary","tbaas:GetConsortiumList","tbaas:CreateConsortium","tbaas:GetConsortiumMembers","tbaas:GetConsortiumDetail","tbaas:GetConsortiumMemberAuthData","tbaas:InviteConsortiumMember","tbaas:ExitConsortium","tbaas:GetEventList","tbaas:GetEventSummary","tbaas:GetChannelVotersForEvent","tbaas:GetClusteMemberForEvent","tbaas:GetEventDetail","tbaas:GetConsortiumDtailForEvent","tbaas:GetConsortiumMemberForEvent","tbaas:GetChannelInviteesForEvent","tbaas:GetChannelDetailForEvent","tbaas:DealEventTask","tbaas:GetEventStepStatus","tbaas:GetClusteDetailForEvent","tbaas:GetUserAuthType","tbaas:PreFeeGetPrice","tbaas:CheckResourceCreate","tbaas:GetChaincodeTemplate","tbaas:GetCosUrl","tbaas:GetCosSign","tbaas:CompileChaincode","tbaas:ExportChaincodeDev","tbaas:UploadChaincodeDev","tbaas:RunChaincodeDev","tbaas:GetChaincodeDevAccessAuth","tbaas:AsynCheckChaincodeDev","tbaas:AsynCompileChaincodeDev","tbaas:BcosPreFeeGetPrice","tbaas:GetUserListHandler","tbaas:UpdateKeyUserHandler"],"effect": "allow","resource": "*"}]}
授权用户拥有特定 TBaaS 区块链网络实例的操作权限策略
如果您希望用户拥有特定 TBaaS 区块链网络实例操作权限,可将以下策略关联到该用户。以下策略允许用户拥有对资源 ID 为
tbaas-xxx,广州地域的 TBaaS 区块链网络实例的操作权限:{"version": "2.0","statement": [{"action": "tbaas:*","resource": "qcs::tbaas:ap-guangzhou::resource/tbaas-xxx","effect": "allow"}]}
授权用户拥有批量 TBaaS 区块链网络实例的操作权限策略
如果您希望用户拥有批量 TBaaS 区块链网络实例操作权限,可将以下策略关联到该用户。以下策略允许用户拥有对资源 ID 为
tbaas-xxx、tbaas-yyy,广州地域的 TBaaS 区块链网络实例的操作权限和对资源 ID 为 tbaas-zzz,北京地域的 TBaaS 区块链网络实例的操作权限。{"version": "2.0","statement": [{"action": "tbaas:*","resource": ["qcs::tbaas:ap-guangzhou::resource/tbaas-xxx","qcs::tbaas:ap-guangzhou::resource/tbaas-yyy","qcs::tbaas:ap-beijing::resource/tbaas-zzz"],"effect": "allow"}]}
授权用户拥有特定地域 TBaaS 区块链网络实例的操作权限策略
如果您希望用户拥有特定地域的 TBaaS 区块链网络实例的操作权限,可将以下策略关联到该用户。以下策略允许用户拥有对广州地域的 TBaaS 区块链网络实例的操作权限。
{"version": "2.0","statement": [{"action": "tbaas:*","resource": "qcs::tbaas:ap-guangzhou::*","effect": "allow"}]}
授权用户拥有特定标签的 TBaaS 区块链网络实例的操作权限策略
如果您希望用户拥有特定地域的 TBaaS 区块链网络实例的操作权限,可将以下策略关联到该用户。以下策略允许用户拥有对广州地域的 TBaaS 区块链网络实例的操作权限。
{"version": "2.0","statement": [{"effect": "allow","action": "*","resource": "*","condition": {"for_any_value:string_equal": {"qcs:tag": ["qta&camtest"]}}}]}
自定义策略
如果您认为预设策略不能满足您的要求,您可以通过创建自定义策略达到目的。若按照资源进行授权,针对不支持资源级权限的 TBaaS 区块链网络实例 API 操作,您仍可以向用户授予使用该操作的权限,但策略语句的资源元素必须指定为
*。
策略内容可参考以下策略语法进行设置: {"version": "2.0","statement": [{"action": ["Action"],"resource": "Resource","effect": "Effect"}]}
Action 中内容换成您要进行允许或拒绝的操作。
Resource 中内容换成您要授权的具体资源。
Effect 中内容换成允许或者拒绝。
