Posted on 2022年3月10日

云监控访问管理

访问管理

云监控支持通过访问管理CAM实现主账号对子账号的权限控制，您可以参考本文档管理子账号访问权限。

功能介绍

默认情况下，主账号是资源的拥有者，拥有其名下所有资源的访问权限；子账号没有任何资源的访问权限；需要主账号进行授予子账号访问权限，子账号才能正常访问相关资源。您可以使用主账号登录访问管理控制台给子账号授予访问权限。

云监控策略依赖于其它云产品策略，因此给子账号授予云监控权限时，需同时授予对应云产品权限，云监控的权限才能生效。

常见权限说明

权限介绍表

权限类型	权限名称
云监控权限	QcloudMonitorFullAccess 和 QcloudMonitorReadOnlyAccess
云服务器权限	QcloudCVMReadOnlyAccess 或 QcloudCVMFullAccess

功能对照表

功能名称	操作权限		访问权限
功能名称	QcloudMonitor FullAccess	QcloudMonitor ReadOnlyAccess	QcloudMonitor FullAccess	QcloudMonitor ReadOnlyAccess
监控概览	✓	✓	✓	✓
Dashboard	✓	✓	✓	✓
实例分组	✓	✓	✓	✓
告警历史	✓	✓	✓	✓
告警策略	✓	×	✓	✓
平台事件订阅	✓	✓	✓	✓
自定义消息	✓	✓	✓	✓
触发条件模板	✓	✓	✓	✓
产品事件	✓	✓	✓	✓
平台事件	✓	✓	✓	✓
流量监控	✓	✓	✓	✓
云产品监控	✓	✓	✓	✓

常见授权异常说明

异常一

控制台报错：单击云监控所有功能页面均显示 “操作未授权，请检查 CAM 策略”。
解决措施：在访问管理控制台授予对应子账号 QcloudMonitorFullAccess 或 QcloudMonitorReadOnlyAccess 权限。

异常二

控制台报错：操作告警策略、Dashboard 等需访问云服务器实例的功能时，提示 CVM 类型授权失败，如下所示：
解决措施：在访问管理控制台授予对应子账号 QcloudCVMFullAccess 或 QcloudCVMReadOnlyAccess 权限。

异常三

控制台报错：
创建告警策略时，所属项目下框提示 “没有项目权限，无法创建该策略”，如下所示：
创建告警接收组时，提示 CAM 类型授权失败，如下所示：
解决措施：在访问管理控制台授予对应子账号 QcloudMonitorFullAccess 权限。

云监控相关的云产品系列

产品名称	策略名称	权限描述	可参考文档
云服务器CVM	QcloudCVMFullAccess	云服务器 CVM 全读写访问权限，包括 CVM 及相关 CLB、VPC 监控权限	访问管理
云服务器CVM	QcloudCVMReadOnlyAccess	云服务器 CVM 相关资源只读访问权限	访问管理
云数据库MYSQL	QcloudCDBFullAccess	云数据库 MySQL 全读写访问权限，包括 MySQL 及相关安全组、监控、用户组、COS、VPC、KMS 权限	访问管理
云数据库MYSQL	QcloudCDBReadOnlyAccess	云数据库 MySQL 相关资源只读访问权限	访问管理
云数据库 MongoDB	QcloudMongoDBFullAccess	云数据库 MongoDB 全读写访问权限	访问管理
云数据库 MongoDB	QcloudMongoDBReadOnlyAccess	云数据库 MongoDB 只读访问权限	访问管理
云数据库 Redis	QcloudRedisFullAccess	云数据库 Redis 全读写访问权限	访问管理
云数据库 Redis	QcloudRedisReadOnlyAccess	云数据库 Redis 只读访问权限	访问管理
游戏数据库TcaplusDB	QcloudTcaplusDBFullAccess	游戏数据库 TcaplusDB 全读写访问权限	访问管理
游戏数据库TcaplusDB	QcloudTcaplusDBReadOnlyAccess	游戏数据库 TcaplusDB 只读访问权限	访问管理
云数据库Memcached	QcloudMemcachedFullAccess	云数据库 memcached 全读写访问权限	访问管理
云数据库Memcached	QcloudMemcachedReadOnlyAccess	云数据库 memcached 只读访问权限	访问管理
分布式HTAP数据库 TBase	QcloudTBaseFullAccess	分布式HTAP数据库 TBase 全读写访问权限	访问管理
分布式HTAP数据库 TBase	QcloudTBaseReadOnlyAccess	分布式HTAP数据库 TBase 只读访问权限	访问管理
Elasticsearch Service	QcloudElasticsearchServiceFullAccess	ElasticsearchService 全读写访问权限	访问管理
Elasticsearch Service	QcloudElasticsearchServiceReadOnlyAccess	ElasticsearchService 只读访问权限	访问管理
私有网络VPC	QcloudVPCFullAccess	私有网络 VPC 全读写访问权限	访问管理
私有网络VPC	QcloudVPCReadOnlyAccess	私有网络 VPC 只读访问权限	访问管理
专线接入DC	QcloudDCFullAccess	专线接入 DC 全读写访问权限	–
消息服务CMQ	QcloudCmqQueueFullAccess	队列模型 CmqQueue 全读写访问权限，包含 Queue 及云监控权限	–
消息服务CKafka	QcloudCKafkaFullAccess	消息服务 CKafka 全读写访问权限	访问管理
消息服务CKafka	QcloudCkafkaReadOnlyAccess	消息服务 Ckafka 只读访问策略	访问管理
对象存储 COS	QcloudCOSFullAccess	对象存储 COS 全读写访问权限	访问管理
对象存储 COS	QcloudCOSReadOnlyAccess	对象存储 COS 只读访问权限	访问管理
负载均衡 CLB	QcloudCLBFullAccess	负载均衡 CLB 全读写访问权限	访问管理
负载均衡 CLB	QcloudCLBReadOnlyAccess	负载均衡 CLB 只读访问权限	访问管理
文件存储CFS	QcloudCFSFullAccesss	文件存储 CFS 全读写访问权限	访问管理
文件存储CFS	QcloudCFSReadOnlyAccess	文件存储 CFS 只读访问权限	访问管理
流计算Oceannus	QcloudOceanusFullAccess	流计算 Oceanus 全读写访问权限	访问管理

云产品等基础资源监控与自定义监控的子账号权限独立。

若子账号需要在云产品等基础资源监控下查看用户组权限，需主账号登录访问控制台授权子账号 “QcloudMonitorFullAccess” 权限（若仅开通此权限，云服务资源监控和自定义监控的告警接收对象不同步）。
若子账号需要在自定义监控下查看用户组权限，需要主账号在访问管理模块授权子账号 “QcloudCamReadOnlyAccess” 权限。

云监控 访问管理