腾讯云创建子账户并通过自定义策略约束访问云服务器CVM权限

最新推荐文章于 2024-04-26 17:24:24 发布
最新推荐文章于 2024-04-26 17:24:24 发布
阅读量3.2k 收藏 8
点赞数 3
分类专栏: 服务器 文章标签: 腾讯云 服务器 云计算 自定义权限 子账户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yue81560/article/details/121689319
版权

目录

意图

这几天打算把自己的云服务器暂时转给别人使用,如果直接把自己的账号发给别人,风险太大。发现可以在自己的主账号下配置子账号,并设定子账号的资源访问权限。现在进行了一番探究,主要要实现如下的功能:

  • 子账户只能访问自己制定的CVM资源
  • 子账户可以查看云服务器的基本信息
  • 子账户可以自由的配置的防护墙的端口开放规则

配置过程

添加子账户

  1. 个人头像->访问管理,然后在跳转的页面内选择->用户->用户列表,然后选择新建账户
    在这里插入图片描述在这里插入图片描述2. 在这里选择自定义的添加子账户的方式:
    在这里插入图片描述在这里插入图片描述3. 配置用户的账户信息和基本的权限设置:
    在这里插入图片描述
    在这里插入图片描述4. 设置资源访问权限,这里需要进行自定义权限,但是可以直接跳过,等用户创建好之后,再关联权限。
    在这里插入图片描述直接下一步:
    在这里插入图片描述可以看到这里的权限信息为空,然后直接完成即可。

自定义权限信息

  1. 访问管理->策略->自定义策略:进行策略的新建
    在这里插入图片描述刚开始创建的时候最好是选择按策略生成器创建,比较方便:
    在这里插入图片描述3. 配置生成器的一些信息,首先要选择要开放的服务,因为这里只想开发CVM,所以只选择CVM:

在这里插入图片描述先不配置操作,先设置我们只能访问的云服务器资源:
在这里插入图片描述

添加权限,其实是再添加一个策略生成器,这里需要一个就行了。就是针对云服务权限

选择自定义资源六段式:

  • 服务:是自己生成的,不需要修改
  • 地域,选择子账户可以访问的云服务器的所在地域
  • 账户:也是自己生成的。不需要改
  • 资源前缀:云服务器,固定为instance
  • 资源:云服务器的ID,如ins-XXXX

在这里插入图片描述

注意,可以添加多个。如果资源那填*,说明可以访问该地域下的所有云服务器

资源六段式参考文档

  1. 最后配置最重要的操作,这个决定了子账户可以有哪些访问和操作权限,我们可以搜索我们熟悉的权限,比如安全组相关的:

在这里插入图片描述在这里插入图片描述

因为要让子用户可以自由的添加和删除规则,所以显然要添加上述的规则

  1. 下一步,就进入了自定义规则的最后的一步:
    在这里插入图片描述我们可以将权限赋予我们刚才新建的子账户。

相关权限的查漏补缺

注意到,我们之前设置权限的时候只设置了安全组,当然我们可以设置其他我们知道的应该开放的权限。但是因为权限五花八门,我们不一定我们限制的子账户的操作,应该配置什么权限。
但是腾讯有一种动态的基于操作的权限设置,就是我们登陆到子账户上,然后进行操作,如果没有相应的权限,就会有弹窗限制,如我们用只能访问云服务器的子账户访问轻量云,会有:
在这里插入图片描述注意到绿色和颜色部分,这两个部分是我们补全权限的关键。

接下来我们对已经建立的策略进行修改:
在这里插入图片描述在这里插入图片描述选择json格式的策略文件:
在这里插入图片描述在这里插入图片描述
其中action是我们配置的具体的权限,而resource中关联的是权限中涉及到的资源信息。简单的就是,我们把上面说过的绿色的部分添加到action中,而蓝色的添加到resource中。

要注意,蓝色的一般部识别资源id。所以我们要自己制定资源id。

我们提前登陆到子账户,对资源进行访问和操作。如果有提示权限不足的弹窗,就在json中添加权限。
在这里插入图片描述

参考的策略josn文件

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cvm:DescribeSecurityGroupPolicys",
                "cvm:DescribeUserResources",
                "cvm:CreateSecurityGroupPolicy",
                "cvm:DeleteSecurityGroupPolicy",
                "cvm:ModifyImageAttribute",
                "cvm:ModifySecurityGroupPolicys",
                "cvm:ModifySingleSecurityGroupPolicy",
                "cvm:DescribeInstancesStatus",
                "cvm:DescribeInstances",
                "cvm:DescribeImages",
                "monitor:DescribeBaseMetricsForConsoleFontEnd",
                "cvm:DescribeSecurityGroups",
                "vpc:DescribeVpcEx",
                "vpc:DescribeNetworkInterfaces",
                "cvm:DescribeCbsStorages",
                "cvm:DescribeSecurityGroupLimits",
                "vpc:DescribeAddress",
                "vpc:DescribeService",
                "vpc:DescribeServiceGroups",
                "vpc:DescribeAddressGroups"
            ],
            "resource": [
                "qcs::cvm:ap-shanghai:uin/自己的账户ID:instance/ins-自己的资源ID",
                "qcs::cvm:sh:uin/自己的账户ID:image/img-自己的资源ID",
                "qcs::cvm:sh:uin/自己的账户ID:sg/sg-自己的资源ID",
                "qcs::vpc:sh:uin/自己的账户ID:vpc/vpc-自己的资源ID",
                "qcs::vpc:sh:uin/自己的账户ID:eni/*",
                "qcs:id/0:cvm:sh:uin/自己的账户ID:volume/*",
                "qcs::vpc:sh:uin/自己的账户ID:address/*",
                "qcs::vpc:sh:uin/自己的账户ID:service/*",
                "qcs::vpc:sh:uin/自己的账户ID:serviceGroup/*",
                "qcs::vpc:sh:uin/自己的账户ID:addressGroup/*"
            ]
        }
    ]
}

这些id在云服务器的信息界面有显示:

在这里插入图片描述
在这里插入图片描述

权限json文件的参考文档

月司
关注
专栏目录
[安全相关]使用腾讯云账号提高账号安全性
无向弦的博客
09-16 1171
前言 为什么使用账号呢? 账号可以提高安全性,如果我们采用主账号的key进行授权的时候,其他人一旦获取到我们的key,便对我们形成致命的打击,如果我们采用账号,一方面,我们可以快速的撤销授权,避免损失,在最差的情况下,我们保证受损的是最少的,这些不妨事一种容灾的好方法。此处仅书写了腾讯云的系统,未涉及到其他的系统,在安全的角度上应该各个系统都有相应的系统,此处仅以腾讯云为例。 步骤 首先登陆账号 首先在腾讯云的网站上登陆你的账号 https://cloud.tencent.com/ 进入腾讯云账号
腾讯云服务器CVM 常见问题的解答,在使用过程中遇到问题可以参阅
上云使者的云计算知识
12-01 3253
本页面提供关于腾讯云云服务器 CVM 的一些常见问题的解答,如果您在使用过程中遇到问题,可以参阅产品文档中心的常见问题。 腾讯云服务器CVM一般常见问题 什么是 CVM 实例? 云服务器( Cloud Virtual Machine,CVM )为您提供安全可靠的弹性计算服务。 只需几分钟,您就可以在云端获取和启用 CVM ,来实现您的计算需求。随着业务需求的变化,您可以实时扩展或缩减计算资源。每一个实例类型提供不同的计算和存储能力,用户可以基于需要提供的服务规模而选择实例计算能力、存储空间和网络访问.
腾讯云配置账号,并生成访问控制权限
最新发布
weixin_42059662的博客
04-26 606
腾讯云配置账号,并生成访问控制权限
腾讯云根据项目给账户授权按项目管理资源
u013935897的博客
08-08 230
3,给账户所有镜像操作权限。(没有这个权限无法通过镜像重装系统,缺点就是可以管理所有账户的上传的镜像)2,给账户所有vpc只读权限。(没有这个权限服务器管理页面会弹出报错)4,给账户授予对应项目权限(cdn,和其它项目)
使用腾讯云账户的API刷新CDN
奇怪的老司机
03-22 727
python程序刷新CDN用的是腾讯云账户的SecretID,理论上能对账号下全部资源进行操作,这么做的话风险很大,将可能影响整个腾讯云账号。为减少此风险,可通过账户的方式来刷新CDN,这样使API只有操作刷新CDN的权限,而不能访问其他云上资源。具体操作方法如下:1,登录到腾讯云控制台2,点击右上角头像,选择访问管理。3.1,策略–>新建自定义策略,按产品功能或项目权限创建。3.2,定...
腾讯云策略管理配置有感
weixin_34198881的博客
12-13 417
起因--------------------------------客户发现自己的腾讯云服务器中病毒了,经过查杀病毒后发现仍然没用,只能重装系统,不过客户采用的是账号的登陆方式,目前一共有4台服务器,其中两台跑的是业务数据库,如果此时给账号授予全部重装服务器权限,那么担心账号的权限被盗取,导致***重装所有服务器,所以只能从给账号的权限入手,不过看到控制台权限预设的...
06 腾讯云服务器产品介绍
10-29
* 云服务器CVM云服务器CVM腾讯云提供的一种基于云计算服务器解决方案,提供了高性能、高可用性和高安全性的云服务器服务。 * GPU云服务器:GPU云服务器腾讯云提供的一种基于云计算的GPU加速服务器解决方案,...
腾讯云服务器购买指南之CVM实例计费模式
上云使者的云计算知识
09-30 2200
本文分享「腾讯云服务器购买指南之CVM实例计费模式」,详见腾讯云官方文档 腾讯云提供三种类型的云服务器购买方式:包年包月、按量计费和竞价实例,分别适用于不同场景下的用户需求。 下表列出了三种计费模式的区别: 实例计费模式 包年包月 按量计费 竞价实例 付款方式 预付费 购买时冻结费用,每小时结算 购买时冻结费用,每小时结算 计费单位 元/月 元/秒 元/秒 单价 单价较低 单价较高 浮动价格,大多数情况是同规格按量计..
腾讯云服务器到期未续费,CVM实例被释放还能找回文件吗?
上云使者的云计算知识
09-28 3761
腾讯云服务器到期未续费,CVM实例被释放还能找回文件吗? 云服务器释放是指云服务器到期没有续费,会被销毁、回收,数据将会被清除且不可找回。 如果你的腾讯云服务器里文件比较重要的话,那么就需要做好备份,并且多关注腾讯云控制台的CVM实例状态、站内信、邮件、微信消息以及手机短信。 一般腾讯云服务器到期后会进行提示,通过站内信、邮件及短信的方式通知到腾讯云账户。 包年包月云服务器 预警说明 预警类型 说明 到期预警 云资源会在到期前第7天内,将向用户推送到期预警消息。预警消息将通过邮件
Linux(centos8) 腾讯云CVM配置SMTPS发邮件
致梦Blog
02-25 713
465端口是为SMTPS(SMTP-over-SSL)协议服务开放的它是SMTP协议基于SSL安全协议之上的一种变种协议,它有SSL安全协议的非对称加密的高度安全可靠性,可以保证邮件的安全性因为25端口不通,所以使用465端口发送邮件。
腾讯云点播配置应用以及权限
qq_40250122的博客
06-16 673
腾讯云点播配置
腾讯云用户类型,账号和协作者的区别
tengxunyunyouhui的博客
07-13 401
协作者本身拥有主账号身份,被添加作为当前主账号的协作者。用户由主账号创建,完全归属于创建用户的主账号。创建账号可以是用户、企业微信用户、协作者和消息接收人,不同账号类型说明如下表。用户类型分为主账号和账号,用户和协作者都属于。3、关于腾讯云用户类型及说明,可以参考官方文档。腾讯云用户类型,账号和协作者的区别是什么?的账号为主账号,主账号可以通过。来创建拥有不同权限账号。用户腾讯云官网注册。
Linux 服务器新建账户
weixin_43505789的博客
03-20 1707
以下内容部分为chatgpt的回答。
腾讯云轻量应用服务器-建站保姆级教学
weixin_43774303的博客
07-14 716
我这里需求是构建一个静态网站,选择应用镜像WordPress 这里可以看到腾讯云已经替你安装好对应的软件,可以根据提示获取对应的同户名和密码进行查看,我们可以先进到WordPress看下效果 腾讯云提供了备案服务 如果网站托管在腾讯云中国内地地域轻量应用服务器,且网站的主办者和域名从未办理过备案,在开通服务前,需在腾讯云备案系统进行首次备案的操作。 流程指引请参考 首次备案。备案结束后进行域名解析,否则即使配置了域名解析也会被管局拦截 证书部署的时候有点坑,后面会提到… 先将证书下载到本地并解压
腾讯云服务器权限访问,显示Permission Denied(云服务器授予root权限
qq_48617322的博客
08-02 3127
腾讯云服务器权限访问,显示Permission Denied,授予root权限
服务器设置,怎么设置网络服务器权限
2023年最新地推相关信息
08-29 3208
如何允许用户读取共享文件但禁止复制共享文件、允许用户修改共享文件但禁止删除共享文件、允许用户打开共享文件共享文件但禁止另存为本地磁盘,一直是服务器共享文件管理过程中比较让人头疼的问题。隐藏用户权限访问的共享文件夹的方法有两种,一方面可以借助于操作系统的“基于访问的枚举”功能,另一方面也可以借助于共享文件夹的设置,相对更为简单,只需要在共享文件夹后面添加“$”符号即可。3、如何禁止复制共享文件夹、共享文件禁止复制、禁止共享文件另存为本地磁盘、禁止拖拽共享文件以及防止删除共享文件。...
阿里云账号(RAM)的使用方法
热门推荐
u013769839的博客
11-02 1万+
如有不清楚的地方,可以在评论区留言,小编每日解答。      当我们拿到管理员给我们的账号(RAM)后,我们可以去查看我们可以管理的服务器了。步骤如下: 一、打开账号登陆页面 网址:https://signin.aliyun.com/login.htm 点击“云服务器ECS” 点击“实例” 选择服务器所在的区域 点击标签:(注意,这个标签超难点,自己会来回的蹦...
PicGo+腾讯云COS或者Github图床配置
vzuer的博客
04-20 641
PicGo的官网: PicGo:一个用于快速上传图片并获取图片 URL 链接的工具 客户端管理工具的基本界面: PicGo客户端(Windows平台)下载: 直接在PicGo的Github官网下载就可以,如果Github下载很慢的话,也可以通过下面的连接下载,不过安装包很可能已经不是最新版本了。 蓝奏云: https://vzuer.lanzous.com/iHELwnmarwj 密码:52mh 点开图床设置中的腾讯云COS设置可以看到如下界面: 腾讯云的官网: https://cloud.tenc
云服务器创建普通用户
u014264373的博客
03-14 3412
今天由于有点小东西,需要添加一个普通用户,并配置ssh登录,然后搞了很久,有点尴尬,mark一下 可以看下这篇blog:传送门 如果不想和root一个group的话,可以先添加一个group sudo groupadd test 然后添加用户,分配组,配置用户的文件位置,常规操作: sudo useradd -d /home/test -g test -s /bin/bash tes...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

月司

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值