最近发现腾讯云中授权子用户权限QCloudResourceFullAccess后子用户无法通过api接口支付cvm的订单,
错误提示
[TencentCloudSDKException] code:UnauthorizedOperation message:由于您没有支付权限,无法完成支付,请开通后再试
如果给于QCloudFinanceFullAccess该策略允许您管理账户内财务相关的内容,例如:付款、开票。该策略则权限过大不符合要求.
问题再次转到QCloudResourceFullAccess这个策略该策略的描述是该策略允许您管理账户内所有云服务资产。
但是查看策略的内容发现
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "*",
"resource": "*"
},
{
"effect": "deny",
"action": "cam:*",
"resource": "*",
"condition": {
"string_equal_if_exist": {
"isResourceManager": "1"
}
}
},
{
"effect": "deny",
"action": "finance:*",
"resource": "*"
}
]
}
发现又直接deny了所有的财务权限
"effect": "deny",
"action": "finance:*",
"resource": "*"
描述和策略语法完全不相符合。也没有说明,所有授权这条策略后通过api接口创建cvm订单没有支付权限的可以去掉这条权限即可!