有这么一个场景：项目组买了一批云服务器，拿出其中的一台给小明用，小明登录自己的帐号后，只能看到自己那一台服务器，看不到主账号里面的其他云资源，而且，小明得有那台云服务器的完全控制权限，包括重装系统。

访问控制（Cloud Access Management，CAM）是腾讯云提供的Web服务，主要用于帮助客户安全管理腾讯云账户下的资源的访问权限。用户可以通过 CAM 创建、管理和销毁用户(组)，并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限。

新建一个协作者用户

首先，打开https://console.cloud.tencent.com/cam ，点击新建用户按钮，新建一个协作者用户。

设定权限那里选择从策略列表中授权，然后把QcloudIMAGEFullAccess策略添加进去。若没有这个策略，小明重装系统的时候，会报错“you are not authorized to perform operation (cvm:DescribeImages)
resource (qcs::cvm:hk:uin/8888888:image/*) has no permission”
因为重装系统使用到了镜像的权限，所以是需要授权镜像的权限的。

新建一个策略，让协作者只能看到指定资源

打开https://console.cloud.tencent.com/cam/policy 新建自定义策略，选择“按策略语法创建”，然后选择“空白模板”，自己写策略。

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "cvm:*",
            "resource": "qcs::cvm:hk::instance/ins-5u788888"
        }
    ]
}

稍微解释下这个策略写法，主要是大括号里面的内容：
effect 效力我们设为allow，允许。
"action": "cvm:*" ，此语句的意思：对cvm的所有操作，后面的*代表所有，若要细分权限，请自行查看官方文档
这句跟上面的effect结合起来就是：允许对cvm进行任何操作。
resource这句比较重要，主要就是它在做资源访问限制，我们把后面的"qcs::cvm:hk::instance/ins-5u788888"拆开讲。这个配置被5个冒号分成了6段。
➤qcs，第一段的qcs，没什么实际意义，就是腾讯规定的
➤第二段留空了。
➤cvm，CVM 产品的云服务器
➤hk，资源所在地域为香港，地域代码可在此处查询：https://cloud.tencent.com/document/product/213/6091
➤第五段留空，这里要写的话，写uin/12345678，后面的12345678换成你的主账号的账号ID。
➤第六段，资源名为ins-5u788888，资源前缀为instance，这个资源名就是你在https://console.cloud.tencent.com/cvm/index 看到的ID

将策略关联到用户

打开 https://console.cloud.tencent.com/cam/policy/custom 看到刚刚新建的策略，点击策略后面的“关联用户/组”，把最开始新建的小明用户关联上。

此时，小明就拥有了这台cvm的完全控制权限，而且他看不到主账号下的其他云资源，因为没有仔细研究，不知道会不会存在什么逻辑上的提权漏洞；此方法同样适用于你名下有多台机器，你要拿出一台给他人使用的情况。

最后，本博客启用了一个很好记的域名 3322.ee ，诸位下次可以通过此域名进来。

http://3322.ee