概述

如果您使用到了密钥管理系统（KMS）、私有网络（VPC）、云服务器、数据库等服务，这些服务由不同的人管理，但都共享您的云账号密钥，将存在以下问题：

• 您的密钥由多人共享，泄密风险高。
• 您无法限制其它人的访问权限，易产生误操作造成安全风险。

访问控制（CAM）用于管理账户下资源访问权限，通过 CAM，您可以通过身份管理和策略管理控制哪些子账号有哪些资源的操作权限。

例如，您的根账户下有个主密钥，您只想让子帐号 A 使用该主密钥，而让子账号 B 不能使用，就可以通过在 CAM 中配置策略，对子账号的权限进行控制。

如果您不需要对子账户进行 KMS 相关资源的访问控制，您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用。

CAM 基本概念

根账户通过给子账户绑定策略实现授权，策略设置可精确到（API，资源，用户/用户组，允许/拒绝，条件）维度。

• 账户
  • 根账号： 腾讯云金融专区 资源归属、资源使用计量计费的基本主体，可登录 腾讯云金融专区 服务。
  • 子账号：由根账号创建账号，有确定的身份 ID 和身份凭证，且能登录到 腾讯云金融专区 控制台。根账号可以创建多个子账号(用户)。子账号默认不拥有资源，必须由所属根账号进行授权。
  • 身份凭证：包括登录凭证和访问证书两种，登录凭证是指用户登录名和密码，访问证书是指云 API 密钥（SecretId 和 SecretKey）。
• 资源与权限
  • 资源：资源是云服务中被操作的对象，如一个 KMS 的一个主密钥，云服务器实例，COS 存储桶，VPC 实例等。
  • 权限：权限是指允许或拒绝某些用户执行某些操作。默认情况下，根账号拥有其名下所有资源的访问权限，而子账号没有根账号下任何资源的访问权限。
  • 策略：策略是定义和描述一条或多条权限的语法规范。根账号通过将策略关联到用户/用户组完成授权。