一、授權(quán)核心概念與準(zhǔn)備

1. 策略類型：
   • 系統(tǒng)預(yù)設(shè)策略：騰訊云官方提供，如QcloudCDNReadOnlyAccess（CDN 只讀）、QcloudCollApiKeyManageAccess（密鑰自助管理），適合快速授權(quán)騰訊云
   • 自定義策略：按需組合權(quán)限，適合精細(xì)化管控（如僅允許查詢特定 CDN 域名）Tencent Cloud
2. 授權(quán)原則：
   • 最小權(quán)限：僅授予子賬號(hào)完成工作必需的權(quán)限，避免權(quán)限過大
   • 明確范圍：指定資源（如 CDN 域名）、操作（如 DescribeCdnRefreshTasks）
   • 可審計(jì)：授權(quán)操作全程記錄在 CAM 日志，便于追溯騰訊云
3. 準(zhǔn)備工作：
   • 主賬號(hào)登錄憑證
   • 目標(biāo)子賬號(hào)用戶名 / UIN
   • 明確子賬號(hào)所需權(quán)限清單（如 CDN 查詢 + 密鑰自助管理）

二、場(chǎng)景一：快速授權(quán)（系統(tǒng)預(yù)設(shè)策略，推薦 CDN 場(chǎng)景）

步驟 1：進(jìn)入子賬號(hào)管理頁(yè)

1. 主賬號(hào)登錄騰訊云控制臺(tái)，訪問CAM 用戶列表
2. 找到目標(biāo)子賬號(hào)（如cdn-operator），點(diǎn)擊用戶名進(jìn)入詳情頁(yè)，或直接點(diǎn)擊右側(cè)授權(quán)按鈕

步驟 2：關(guān)聯(lián)預(yù)設(shè)策略

1. 子賬號(hào)詳情頁(yè) → 切換至權(quán)限標(biāo)簽 → 點(diǎn)擊添加權(quán)限
2. 在策略列表中，搜索并勾選：
   • QcloudCollApiKeyManageAccess（必需，子賬號(hào)自助管理密鑰）
   • QcloudCDNReadOnlyAccess（CDN 業(yè)務(wù)必需，只讀查詢）
3. 點(diǎn)擊下一步 → 完成，權(quán)限即時(shí)生效

步驟 3：驗(yàn)證授權(quán)結(jié)果

1. 子賬號(hào)重新登錄控制臺(tái)，訪問API 密鑰管理頁(yè)，確認(rèn)能看到 “新建密鑰” 按鈕
2. 子賬號(hào)調(diào)用 CDN API（如 DescribeCdnRefreshTasks），驗(yàn)證返回 200 正常結(jié)果

三、場(chǎng)景二：精細(xì)化授權(quán)（自定義策略，適配特殊需求）

步驟 1：創(chuàng)建自定義 CDN 查詢策略

1. 主賬號(hào)訪問CAM 策略管理 → 點(diǎn)擊新建自定義策略
2. 選擇按策略生成器創(chuàng)建（可視化操作，降低出錯(cuò)）騰訊云
3. 配置策略：
   表格

   配置項(xiàng)	內(nèi)容	說明
   效果	允許	授予權(quán)限
   服務(wù)	內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)	限定 CDN 產(chǎn)品
   操作	DescribeCdnRefreshTasks	僅允許查詢預(yù)熱任務(wù)
   資源	qcs::cdn:::domain/xxx.com	指定可訪問的 CDN 域名（多個(gè)用逗號(hào)分隔）
4. 輸入策略名稱（如CDN-Refresh-Task-Query）→ 點(diǎn)擊完成保存策略

步驟 2：關(guān)聯(lián)自定義策略到子賬號(hào)

1. 返回用戶列表 → 子賬號(hào)詳情頁(yè) → 權(quán)限 → 添加權(quán)限
2. 切換至自定義策略標(biāo)簽 → 勾選剛創(chuàng)建的CDN-Refresh-Task-Query
3. 同時(shí)勾選QcloudCollApiKeyManageAccess（密鑰自助管理）→ 完成授權(quán)

四、場(chǎng)景三：批量授權(quán)（用戶組，適合多子賬號(hào)統(tǒng)一管理）

步驟 1：創(chuàng)建用戶組并添加成員

1. CAM 控制臺(tái) → 用戶組 → 新建用戶組（如cdn-team）
2. 進(jìn)入用戶組 → 添加用戶 → 勾選目標(biāo)子賬號(hào) → 確定

步驟 2：給用戶組授權(quán)

1. 用戶組詳情頁(yè) → 權(quán)限 → 添加權(quán)限
2. 勾選QcloudCollApiKeyManageAccess和QcloudCDNReadOnlyAccess → 完成
3. 后續(xù)新增子賬號(hào)只需加入該組，自動(dòng)繼承權(quán)限，簡(jiǎn)化管理

五、子賬號(hào)自助密鑰管理的關(guān)鍵授權(quán)（必配）

1. 子賬號(hào)詳情頁(yè) → 權(quán)限 → 添加權(quán)限
2. 搜索并勾選QcloudCollApiKeyManageAccess → 完成
3. 該策略允許子賬號(hào)執(zhí)行：創(chuàng)建 / 禁用 / 刪除自身 API 密鑰，無法管理其他子賬號(hào)騰訊云

六、授權(quán)管理與安全最佳實(shí)踐

1. 權(quán)限驗(yàn)證清單（主賬號(hào)視角）

2. 授權(quán)安全規(guī)范（生產(chǎn)環(huán)境必執(zhí)行）

七、常見授權(quán)問題與解決方案

1. 子賬號(hào)看不到 “新建密鑰” 按鈕（權(quán)限不足）

• 原因：未授予QcloudCollApiKeyManageAccess權(quán)限
• 解決：主賬號(hào)按場(chǎng)景一的步驟，給子賬號(hào)添加該策略，刷新頁(yè)面后重試騰訊云

2. 子賬號(hào)調(diào)用 CDN API 提示 “權(quán)限不足”

• 排查步驟：
  1. 確認(rèn)子賬號(hào)已關(guān)聯(lián)QcloudCDNReadOnlyAccess策略
  2. 檢查策略是否限制了資源（如僅授權(quán)特定域名）
  3. 驗(yàn)證 API 調(diào)用參數(shù)中的域名是否在授權(quán)范圍內(nèi)
  4. 重新授權(quán)并等待 5 分鐘（權(quán)限生效可能有延遲）

3. 自定義策略配置錯(cuò)誤導(dǎo)致權(quán)限異常

• 解決：
  1. 使用策略生成器重新創(chuàng)建，避免語法錯(cuò)誤
  2. 參考騰訊云 CDN 權(quán)限文檔配置標(biāo)準(zhǔn)權(quán)限
  3. 先在測(cè)試子賬號(hào)驗(yàn)證策略有效性，再應(yīng)用到生產(chǎn)環(huán)境

八、快速操作清單（主賬號(hào)一鍵核對(duì)）