共计 663 个字符，预计需要花费 2 分钟才能阅读完成。

最近发现腾讯云中授权子用户权限 QCloudResourceFullAccess 后子用户无法通过 api 接口支付 cvm 的订单，
错误提示
[TencentCloudSDKException] code:UnauthorizedOperation message: 由于您没有支付权限，无法完成支付，请开通后再试

如果给于 QCloudFinanceFullAccess 该策略允许您管理账户内财务相关的内容，例如：付款、开票。该策略则权限过大不符合要求.

问题再次转到 QCloudResourceFullAccess 这个策略该策略的描述是该策略允许您管理账户内所有云服务资产。
但是查看策略的内容发现

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "*",
            "resource": "*"
        },
        {
            "effect": "deny",
            "action": "cam:*",
            "resource": "*",
            "condition": {
                "string_equal_if_exist": {"isResourceManager": "1"}
            }
        },
        {
            "effect": "deny",
            "action": "finance:*",
            "resource": "*"
        }
    ]
}

发现又直接 deny 了所有的财务权限

 "effect": "deny",
 "action": "finance:*",
 "resource": "*"

描述和策略语法完全不相符合。也没有说明，所有授权这条策略后通过 api 接口创建 cvm 订单没有支付权限的可以去掉这条权限即可！