背景
现实中,主账号需要给不同职级员工的子账号授权产品的功能操作权限,从而满足安全合规的要求,本文将罗列多个场景下的权限授权实践过程。
前提条件
腾讯云账号是在腾讯云访问管理CAM(Cloud Access Management)管理,需要您提前了解子账号、权限、策略等基本概念,请参见 CAM 操作指引。
其中,策略是一条或多条操作权限的集合,分类如下:
| 创建方 | 使用场景 | 本产品的预设策略 | 描述 |
预设策略 | 腾讯云各个产品 | 高频使用的产品功能权限的合集 | QcloudISSReadOnlyAccess
智能视图计算平台(ISS)只读访问权限 | 用户只能查看,不能修改 |
| | | QcloudISSFullAccess
智能视图计算平台(ISS)全读写访问权限 | 用户可完全操作和查看 |
自定义策略 | 用户 | 精细化的权限管理,用户可根据业务场景自主创建 | 无 | 无 |
执行子账号权限授权的完整流程,请参见 用户权限。
场景一:授权子账号可完全操作的权限
适用对象:总部运维团队、总部数字化部门(负责承建视频业务)
场景:由该类子账号统筹整体业务(相当于超级管理员的角色),
授权策略:由主账号为子账号授权产品的预设策略:QcloudISSFullAccess 智能视图计算平台(ISS)全读写访问权限。
说明:
该类子账号可以实现为区域人员创建多个子账号,需要为该类子账号授权:QcloudCamFullAccess 预设策略,随后即可创建子账号。
场景二:授权子账号只能查看设备实况和录像,不能做任何编辑操作
适用对象:区域人员的子账号
场景:配合总部人员排查设备故障及日常调阅自己负责区域的设备视频,因此只能对被授权的设备进行实况预览、录像回放(本地、云端),无法编辑设备组织、新增/删除设备、下载云端录像等,也无法查看其他功能。
接口名 | 接口描述 |
DescribeOrganization | 查询组织 |
DescribeDeviceChannel | 查询设备通道 |
DescribeDeviceRegion | 查询设备所有服务节点 |
DescribeDictionary | 获取字典 |
DescribeRecordPlaybackUrl | 获取云端录像回放URL地址 |
DescribeUserDevice | 查询设备 |
ListDevices | 获取设备列表 |
DescribeRecordFile | 录像文件检索 |
ControlDeviceStream | 获取开流地址 |
ControlRecord | 录像控制 |
ControlRecordTimeline | 请求录像时间轴 |
PlayRecord | 录像播放 |
RefreshDeviceChannel | 刷新设备通道 |
ListTasks | 查询任务列表 |
