如何自定義策略給子賬號(hào)授權(quán)？

發(fā)布時(shí)間：2026-03-17 文章來(lái)源：本站瀏覽次數(shù)：50

✅ 只能查 CDN 刷新 / 預(yù)熱任務(wù)

✅ 不能改配置、不能刪緩存、不能加域名

✅ 子賬號(hào)只能管自己的 API 密鑰

最安全、生產(chǎn)環(huán)境推薦。

一、自定義策略授權(quán)完整步驟（主賬號(hào)操作）

步驟 1：進(jìn)入「策略管理」

主賬號(hào)登錄騰訊云控制臺(tái)
打開(kāi) 訪問(wèn)管理 CAM：
https://console.cloud.tencent.com/cam
左側(cè)菜單：策略管理 → 策略
點(diǎn)擊：新建自定義策略

步驟 2：選擇「按策略語(yǔ)法創(chuàng)建」

選擇：空白模板 → 下一步
策略名稱(chēng)自己寫(xiě)，例如：
CDN_OnlyQueryRefreshAndPush
把下面的 JSON 完整復(fù)制進(jìn)去即可。

二、可直接復(fù)制的自定義策略 JSON（2 選 1）

版本 A：允許查詢所有 CDN 域名的刷新 / 預(yù)熱任務(wù)（最常用）

json

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cdn:DescribeCdnRefreshTasks",
                "cdn:DescribeCdnPushTasks"
            ],
            "resource": [
                "*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cam:GetAccountSummary",
                "cam:ListApiKeys",
                "cam:CreateApiKey",
                "cam:DeleteApiKey",
                "cam:DisableApiKey"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

版本 B：只允許查詢指定 1 個(gè) / 多個(gè) CDN 域名（更安全）

把下面的 aaa.com bbb.com 換成你真實(shí)的加速域名：

json

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cdn:DescribeCdnRefreshTasks",
                "cdn:DescribeCdnPushTasks"
            ],
            "resource": [
                "qcs::cdn:::domain/aaa.com",
                "qcs::cdn:::domain/bbb.com"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cam:GetAccountSummary",
                "cam:ListApiKeys",
                "cam:CreateApiKey",
                "cam:DeleteApiKey",
                "cam:DisableApiKey"
            ],
            "resource": [
                "*"
            ]
        }
    ]
}

三、策略權(quán)限說(shuō)明（你給的是最小安全權(quán)限）

這個(gè)策略只允許子賬號(hào)做 4 件事：

查詢 CDN 刷新任務(wù)
查詢 CDN 預(yù)熱任務(wù)
查看 / 創(chuàng)建 / 禁用 / 刪除自己的 API 密鑰
禁止：添加 / 刪除域名、修改配置、提交預(yù)熱、提交刷新、全量 CDN 操作

四、把自定義策略授權(quán)給子賬號(hào)

回到 CAM → 用戶 → 用戶列表
找到你的子賬號(hào) → 點(diǎn)右邊授權(quán)
選擇：關(guān)聯(lián)現(xiàn)有策略 / 自定義策略
搜索你剛才創(chuàng)建的策略名（如 CDN_OnlyQueryRefreshAndPush）
勾選 → 下一步 → 完成

授權(quán) 立即生效。

五、子賬號(hào)驗(yàn)證權(quán)限（10 秒搞定）

子賬號(hào)調(diào)用 API 或控制臺(tái)：

能看：CDN 刷新記錄、預(yù)熱記錄
能：自助重置自己的 API 密鑰
不能：提交刷新、提交預(yù)熱、改 CDN 配置、刪域名

上一條：子賬號(hào)如何禁用自己的AP...

下一條：子賬號(hào)視角下，如何自助重...

如何自定義策略給子賬號(hào)授權(quán)？

一、自定義策略授權(quán)完整步驟（主賬號(hào)操作）

步驟 1：進(jìn)入「策略管理」

步驟 2：選擇「按策略語(yǔ)法創(chuàng)建」

二、可直接復(fù)制的自定義策略 JSON（2 選 1）

版本 A：允許查詢 所有 CDN 域名 的刷新 / 預(yù)熱任務(wù)（最常用）

版本 B：只允許查詢 指定 1 個(gè) / 多個(gè) CDN 域名（更安全）