腾讯云消息队列CKafka如何获取访问授权?
CAM 基本概念
主账号通过给子账号绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。
账户
资源与权限
-
资源:资源是云服务中被操作的对象,如一个云服务器实例、COS 存储桶、VPC 实例等。 权限:权限是指允许或拒绝某些用户执行某些操作。默认情况下,主账号拥有其名下所有资源的访问权限,而子账号没有主账号下任何资源的访问权限。 策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到用户/用户组完成授权。
子账号使用 CKafka
子账号使用 CKafka 时,需要对两方面进行授权:
- CKafka 需要获取访问用户其他云产品资源的权限,如查看虚拟专有网络(VPC)、标签(Tag)等场景。因此,需要将角色(及其许可策略)传递给 CKafka 服务,即子账号关联 ckafka_PassRole 策略。详细操作参见 。策略中,使用场景详情请参见 。
- 子账号使用 CKafka ,主账号需要授予相关的权限:全量权限 或 指定资源的权限。根据您的业务需要,您可自行选择赋予权限的范围,详细操作参见 。
步骤1:授予 ckafka_PassRole 策略
新建 ckafka_PassRole 策略
- 使用主账号登录 。
- 在左侧导航栏,单击策略,进入策略管理列表页。
- 单击新建自定义策略。
- 在选择创建策略方式的弹出框中,单击按策略生成器创建,进入按策略生成器创建页。
- 根据需要填写策略中对应的服务、操作、资源等内容,您可参照下方图片,生成 ckafka_PassRole 策略,并单击下一步。
- 填写策略名称 ckafka_PassRole 并将其关联给相应的用户、用户组或角色,点击完成。
步骤2:授予全量权限或指定资源权限
全量权限
- 使用主账号登录 。
- 在左侧导航栏,单击策略,进入策略管理列表页。
- 在右侧搜索栏中,输入 QcloudCKafkaFullAccess 进行搜索。
- 在搜索结果中,单击 QcloudCKafkaFullAccess 的关联用户/组,选择需要授权的子账号。 指定资源权限
- 进入 找到需要进行授权的 Ckafka 实例资源。
- 获取相应实例的 ID,如下图所示:
- 进入,在左侧导航栏,单击策略,进入策略管理列表页。
- 单击新建自定义策略,在选择创建策略方式的弹出框中,单击按策略生成器创建,进入按策略生成器创建页。
- 根据需要填写策略中对应的服务、操作、资源等内容,单击添加资源六段式,参照下图所示。
- 在资源六段式中填写指定的实例 ID: 正在上传…重新上传取消
- 单击下一步,为策略指定相应的用户或用户组,单击完成。
附录
Ckafka 平台使用中涉及到以下云产品的调用。主账号需要对子账号进行单独授权才能保证对应 Ckafka 产品功能的使用。Ckafka 中涉及到的对云产品的调用如下:
