如何在腾讯云创建新的子用户账号?

2026-01-02 02:27:15 分类:云计算

在腾讯云创建子用户(即协作者/子账号)需通过访问管理(CAM)控制台完成,主账号(根账号)拥有操作权限。以下是详细、安全的操作步骤(截至2024年最新界面):

✅ 前置条件

  • 你已登录 腾讯云主账号(Root 账号)(即注册时使用的手机号/邮箱对应的账号);
  • 建议开启主账号的多因素认证(MFA)以增强安全性;
  • 确保主账号已完成实名认证(否则无法创建子用户)。

📌 步骤详解(图文指引可参考腾讯云官方文档)

1️⃣ 登录并进入 CAM 控制台

  • 访问 腾讯云访问管理(CAM)控制台
  • 使用主账号登录(非微信扫码登录,建议使用账号密码 + MFA)

2️⃣ 创建子用户

  • 左侧导航栏 → 点击 【用户】→ 【用户列表】
  • 点击右上角 【新建用户】 按钮

3️⃣ 配置子用户基本信息

字段 说明 建议
用户名 必填,仅支持小写字母、数字、-_,长度 1–64 位 dev-zhangsanops-li(避免使用真实姓名全拼)
显示名称 可选,用于控制台显示(如“张三-开发”) 方便团队识别
邮箱/手机号 选填(用于接收通知或密码重置),不作为登录凭证 推荐填写企业邮箱
用户类型 编程访问(API/CLI/SDK)
控制台访问(Web 登录)
(可同时勾选)		 大多数场景建议两者都选

⚠️ 注意:

  • 子用户不能直接用手机号/邮箱登录,登录地址是统一的:https://console.cloud.tencent.com/login
  • 登录时需输入 主账号ID/子用户名 + 密码(如 yourcompany/ops-li

4️⃣ 设置登录方式(关键!)

  • 若勾选了「控制台访问」:
    • ▶️ 选择 【自动生成密码】(推荐)→ 系统生成强密码,首次登录强制修改
    • 或选择 【自定义密码】 → 输入符合要求的密码(8–32位,含大小写字母+数字+特殊字符)
  • 若勾选了「编程访问」:
    • ✅ 自动创建 SecretId & SecretKey(相当于 API 密钥对)
    • 🔒 务必立即下载 CSV 文件并安全保存!(密钥一旦关闭页面将永久不可见,丢失需重新创建)

5️⃣ 授权策略(最小权限原则!)

  • 不要直接授予 QcloudAccessForAll(全读写权限)!
  • 推荐方式:
    • 【按需授权】:点击「+ 添加策略」→ 选择预设策略(如 QcloudCVMReadOnlyAccessQcloudCOSFullAccess
    • 【自定义策略】:点击「+ 创建自定义策略」→ 使用 JSON 编辑器精细化控制(例如仅允许操作指定地域的 CVM 实例)
    • 【用户组授权】(推荐批量管理):先创建用户组(如 DevGroup),绑定策略,再将子用户加入该组

💡 提示:

  • 新建用户默认无任何权限,必须显式授权才能访问资源;
  • 权限变更即时生效(无需重启或刷新)。

6️⃣ 完成创建

  • 点击 【完成】
  • 页面将显示:
    • 控制台登录地址:https://console.cloud.tencent.com/login
    • 子用户登录名(格式为 主账号ID/用户名,如 123456789/ops-li
    • (若启用控制台访问)初始密码(仅显示一次!)
    • (若启用编程访问)SecretId / SecretKey(仅显示一次!⚠️)

🔐 后续安全建议(强烈推荐)

项目 操作
强制MFA 在用户列表中找到该子用户 → 点击「更多」→「启用MFA」→ 绑定 Google Authenticator 或腾讯云验证码器
密码策略 CAM 控制台 → 【策略管理】→ 【系统策略】→ 编辑 QcloudCamFullAccess 或自定义策略,启用「强制定期修改密码」
审计日志 开启【云审计(CloudAudit)】服务,追踪子用户所有操作行为
权限回收 员工离职?立即:① 禁用用户(用户列表 → 更多 → 禁用);② 移出用户组;③ 删除关联密钥

❗ 常见问题

  • Q:子用户能查看/修改主账号的账单吗?
    A:默认不可见。需额外授予 QcloudBillingReadOnlyAccessQcloudBillingFullAccess 策略。

  • Q:忘记子用户密码怎么办?
    A:主账号可在 CAM 控制台 → 用户列表 → 找到该用户 → 「更多」→ 「重置密码」(需验证主账号 MFA)。

  • Q:能否用微信/企业微信扫码登录子用户?
    A:❌ 不支持。子用户只能通过账号密码(主账号ID/用户名)登录,不支持微信快捷登录。

📚 官方参考

  • 腾讯云 CAM 子用户文档:
    👉 https://cloud.tencent.com/document/product/598/37140
  • 最佳实践(权限最小化):
    👉 https://cloud.tencent.com/document/product/598/37151

如需我帮你:

  • ✨ 生成一个符合最小权限原则的 JSON 策略(例如:仅允许在 ap-guangzhou 地域启动/停止指定标签的 CVM)
  • 📄 输出标准《子用户开通审批单》模板(含安全条款)
  • 🛠️ 编写自动化脚本(使用 tencentcloud-sdk-python 批量创建子用户)

欢迎随时告诉我你的具体场景(如:为运维、开发、财务人员分别配置),我会为你定制方案 ✅

是否需要我为你生成一份「广州区CVM只读+北京区COS上传」的精准策略示例?