如何自定義策略給子賬號授權？

發(fā)布時間：2026-03-17 文章來源：本站瀏覽次數(shù)：110

✅ 只能查 CDN 刷新 / 預熱任務

✅ 不能改配置、不能刪緩存、不能加域名

✅ 子賬號只能管自己的 API 密鑰

最安全、生產環(huán)境推薦。

一、自定義策略授權完整步驟（主賬號操作）

步驟 1：進入「策略管理」

主賬號登錄騰訊云控制臺
打開訪問管理 CAM：
https://console.cloud.tencent.com/cam
左側菜單：策略管理 → 策略
點擊：新建自定義策略

步驟 2：選擇「按策略語法創(chuàng)建」

選擇：空白模板 → 下一步
策略名稱自己寫，例如：
CDN_OnlyQueryRefreshAndPush
把下面的 JSON 完整復制進去即可。

二、可直接復制的自定義策略 JSON（2 選 1）

版本 A：允許查詢所有 CDN 域名的刷新 / 預熱任務（最常用）

json

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cdn:DescribeCdnRefreshTasks",
                "cdn:DescribeCdnPushTasks"
            ],
            "resource": [
                "*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cam:GetAccountSummary",
                "cam:ListApiKeys",
                "cam:CreateApiKey",
                "cam:DeleteApiKey",
                "cam:DisableApiKey"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

版本 B：只允許查詢指定 1 個 / 多個 CDN 域名（更安全）

把下面的 aaa.com bbb.com 換成你真實的加速域名：

json

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cdn:DescribeCdnRefreshTasks",
                "cdn:DescribeCdnPushTasks"
            ],
            "resource": [
                "qcs::cdn:::domain/aaa.com",
                "qcs::cdn:::domain/bbb.com"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cam:GetAccountSummary",
                "cam:ListApiKeys",
                "cam:CreateApiKey",
                "cam:DeleteApiKey",
                "cam:DisableApiKey"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

三、策略權限說明（你給的是最小安全權限）

這個策略只允許子賬號做 4 件事：

查詢 CDN 刷新任務
查詢 CDN 預熱任務
查看 / 創(chuàng)建 / 禁用 / 刪除自己的 API 密鑰
禁止：添加 / 刪除域名、修改配置、提交預熱、提交刷新、全量 CDN 操作

四、把自定義策略授權給子賬號

回到 CAM → 用戶 → 用戶列表
找到你的子賬號 → 點右邊授權
選擇：關聯(lián)現(xiàn)有策略 / 自定義策略
搜索你剛才創(chuàng)建的策略名（如 CDN_OnlyQueryRefreshAndPush）
勾選 → 下一步 → 完成

授權立即生效。

五、子賬號驗證權限（10 秒搞定）

子賬號調用 API 或控制臺：

能看：CDN 刷新記錄、預熱記錄
能：自助重置自己的 API 密鑰
不能：提交刷新、提交預熱、改 CDN 配置、刪域名

上一條：子賬號如何禁用自己的AP...

下一條：子賬號視角下，如何自助重...

国产人成视频在线观看,青青操视频在线观看国产,国产精品大秀视频日韩精品,人妻丰满熟妇岳av无码区hd

如何自定義策略給子賬號授權？

一、自定義策略授權完整步驟（主賬號操作）