流计算 Oceanus 的云 API 已经启用 CAM 服务级鉴权。默认情况下,所有主账号(也成为主用户)均有 QcloudOceanusFullAccess 策略,可以不用任何设置,正常使用流计算服务。
但是,所有子账号(也称为子用户)没有没有此策略,默认无权调用 Oceanus 的云 API,甚至无法访问流计算的界面,如下图(因为前端的操作也是通过调用云 API 来实现的)。
无权限时的报错页面如果需要为子账号添加策略,可以访问 https://console.cloud.tencent.com/cam/policy,所有主账号应该默认就有这个策略(如果没有看到,请确认当前登录用户是否是主账号):
主账号看到的 QcloudOceanusFullAccess 预置策略如果希望子账号也可以访问流计算页面、调用云 API,则需要登录主账号,点击图中的“关联用户/组”链接:
主账号为子账号关联策略:步骤一然后在弹出的对话框内,对需要授权的用户进行选择,例如下图选择 Kyle 用户进行授权:
主账号为子账号关联策略:步骤二点击“确定”按钮,此时,该子账户就可以正常使用流计算的各项服务、调用云 API 了。
如果希望确认下是否操作成功,可以点击第二张图里的 QcloudOceanusFullAccess 策略,然后查看关联用户/组里面是否已经有了所需要授权的用户或用户组:
查看已经授权的用户/用户组另外,如果子账号已经有了 QcloudResourceFullAccess 权限,则默认可以访问所有云服务的 API,无需再单独授权 QcloudOceanusFullAccess 权限。
