角色 (Role) 是一种虚拟身份,它没有确定的身份密钥,而是被允许授权给其他实体(例如用户、云服务)扮演,以获取临时访问权限。使用角色可以避免长期密钥泄露的风险,提高安全性。🛡️
登录腾讯云控制台,进入访问管理 (CAM) 控制台。
在左侧导航栏选择 角色,然后点击 新建角色。
选择角色类型(例如:云服务角色、用户角色等)。
根据角色类型,填写角色名称、描述等信息。
重要提示: 角色名称在同一账号下必须唯一。
角色载体指定了哪些实体可以扮演该角色。常见载体类型包括:
选择合适的载体类型,并配置相应的参数(例如:账号 ID、服务名称等)。
角色策略定义了角色可以访问的云资源以及可以执行的操作。
您可以选择预设策略或自定义策略。
自定义策略示例: 允许角色访问特定存储桶 (Bucket) 中的对象 (Object)。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"name/cos:GetObject",
"name/cos:HeadObject"
],
"resource": [
"qcs::cos:ap-guangzhou:uid/1234567890:prefix//examplebucket/object*",
"qcs::cos:ap-guangzhou:uid/1234567890:bucket/examplebucket"
]
}
]
}
注意: 将 examplebucket 替换为您的实际存储桶名称,1234567890 替换为您的账户 ID。
角色创建完成后,需要授权实体(例如用户、云服务)扮演该角色。
对于用户: 可以通过修改用户的权限策略,允许其扮演指定的角色。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "sts:AssumeRole",
"resource": "qcs::cam::uin/1234567890:roleName/YourRoleName"
}
]
}
注意: 将 1234567890 替换为您的账户 ID,YourRoleName 替换为您的角色名称。
对于云服务: 通常在创建云服务实例时,可以选择允许该实例扮演某个角色。
例如,在创建 COS 存储桶时,可以选择一个角色,允许 COS 服务访问其他云资源。
获得角色扮演权限的实体,可以通过调用腾讯云 API 或 SDK,使用角色的临时凭证访问云资源。
在使用 STS (Security Token Service) API 获取临时凭证时,需要指定角色 ARN (Aliyun Resource Name)。
{
"Action": "AssumeRole",
"Version": "2011-06-15",
"RoleArn": "qcs::cam::uin/1234567890:roleName/YourRoleName",
"RoleSessionName": "user-defined-session-name"
}
注意: RoleArn 是角色的 ARN,RoleSessionName 是用户自定义的会话名称。
使用角色可以有效管理云资源的访问权限,提高安全性。 通过创建角色,配置角色载体和策略,并授权实体扮演角色,可以实现细粒度的权限控制。 👍
希望以上信息对您有所帮助!😊
