一、準備工作（主賬號操作）

1. 使用主賬號登錄騰訊云控制臺（子賬號無法創(chuàng)建其他子賬號）
2. 準備好子賬號的基本信息（用戶名、描述）
3. 明確子賬號需要的 CDN 權限范圍（如僅查詢緩存預熱任務）
4. 準備密碼管理器用于保存即將生成的密鑰

二、詳細操作步驟（主賬號視角，共 5 步）

步驟 1：創(chuàng)建子賬號（核心基礎）

1. 訪問騰訊云訪問管理 (CAM) 控制臺：https://console.cloud.tencent.com/cam
2. 左側導航欄選擇用戶 → 用戶列表 → 點擊新建用戶按鈕（藍色）
3. 選擇自定義創(chuàng)建（推薦，可精確配置權限）
4. 填寫基本信息：
   • 用戶名：如cdn-operator（建議包含功能和角色）
   • 顯示名稱：如CDN緩存預熱管理員
   • 描述：如用于查詢和管理CDN緩存預熱任務
5. 訪問方式設置：
   • 勾選編程訪問（API 調用必需）
   • 可選控制臺訪問（如需要登錄控制臺操作），設置登錄密碼和有效期
6. 點擊下一步進入權限配置

步驟 2：為子賬號配置 CDN 權限（最小權限原則）

1. 權限配置頁面選擇直接關聯(lián)策略
2. 搜索并選擇適合的 CDN 權限策略：
   表格

   權限策略	適用場景	權限范圍
   QcloudCDNReadOnlyAccess	僅查詢預熱任務狀態(tài)	只讀，無法修改配置或提交預熱任務
   QcloudCDNFullAccess	需要管理預熱任務	完全控制 CDN 所有資源
   自定義策略	極致安全需求	僅允許調用特定 API（如 DescribeCdnRefreshTasks）
3. 建議生產環(huán)境使用QcloudCDNReadOnlyAccess或自定義策略
4. 點擊下一步 → 確認信息 → 點擊完成創(chuàng)建子賬號騰訊云

步驟 3：為子賬號創(chuàng)建 API 密鑰（關鍵操作）

1. 返回用戶列表，找到剛創(chuàng)建的子賬號，點擊用戶名進入詳情頁
2. 切換到API 密鑰標簽頁
3. 點擊新建密鑰按鈕（藍色）
4. 完成二次驗證（主賬號安全驗證，如微信掃碼或短信驗證）
5. 系統(tǒng)生成一對SecretId和SecretKey，彈出保存窗口：
   • SecretId：如AKIDz8krbsJ5yKBZQpn74WFkmLPx3*******（公開標識）
   • SecretKey：如Gu5t9xGARNpq86cd98joQYCN3*******（私有密鑰，僅創(chuàng)建時可見）
6. 立即保存：
   • 點擊復制按鈕，將密鑰保存到密碼管理器
   • 點擊下載 CSV 文件，備份到本地安全位置
7. 確認保存成功后，點擊確定關閉窗口Tencent Cloud

步驟 4：驗證密鑰可用性（推薦）

1. 使用子賬號密鑰調用 CDN 預熱任務查詢 API：
   python

   運行

   import requests
   import time
   import hmac
   import hashlib
   import base64
   
   secret_id = "子賬號SecretId"
   secret_key = "子賬號SecretKey"
   timestamp = int(time.time())
   nonce = 123456
   
   # 構造請求參數
   params = {
       "Action": "DescribeCdnRefreshTasks",
       "SecretId": secret_id,
       "Timestamp": timestamp,
       "Nonce": nonce,
       "SignatureMethod": "HmacSHA256",
       "TaskType": "preload"  # 僅查詢預熱任務
   }
   
   # 生成簽名（省略簽名算法實現(xiàn)，可參考騰訊云API文檔）
   # ...
   
   # 發(fā)送請求
   response = requests.get("https://cdn.api.qcloud.com/v2/index.php", params=params)
   print(response.json())
   
2. 若返回任務列表，說明密鑰和權限配置成功
3. 若提示權限不足，返回子賬號詳情頁檢查并調整權限

步驟 5：管理子賬號密鑰（安全運維）

1. 在子賬號API 密鑰標簽頁可查看密鑰狀態(tài)：啟用 / 禁用
2. 支持操作：
   • 禁用：臨時禁止密鑰使用（如懷疑泄露）
   • 刪除：永久刪除密鑰（需先禁用）
   • 新建：最多可創(chuàng)建 2 個密鑰（輪換使用）Tencent Cloud

三、子賬號密鑰特殊限制與安全管理

1. 數量限制

• 每個子賬號最多創(chuàng)建2 個 API 密鑰
• 如需更多密鑰，建議創(chuàng)建多個功能專一的子賬號

2. 安全最佳實踐（生產環(huán)境必嚴格執(zhí)行）

3. 子賬號密鑰創(chuàng)建權限說明

• 子賬號默認無法自行創(chuàng)建 API 密鑰，需主賬號授權
• 如需讓子賬號管理自身密鑰，主賬號需為其添加QcloudCamSubAccountAccessKeyFullAccess權限Tencent Cloud

四、常見問題與解決方案

1. 子賬號無法創(chuàng)建 API 密鑰

• 原因 1：主賬號未授權子賬號創(chuàng)建密鑰權限
  解決：主賬號為子賬號添加QcloudCamSubAccountAccessKeyFullAccess權限
• 原因 2：子賬號已達到 2 個密鑰上限
  解決：禁用并刪除一個舊密鑰后重試Tencent Cloud

2. API 調用提示權限不足

• 原因：子賬號權限策略不包含所需 CDN 操作
  解決：
  1. 進入子賬號詳情頁 → 權限標簽
  2. 點擊添加權限 → 選擇合適的 CDN 權限策略
  3. 確認權限添加后重試 API 調用騰訊云

3. SecretKey 丟失或忘記保存

• 解決：無法找回已創(chuàng)建的 SecretKey，只能：
  1. 為子賬號新建一個密鑰
  2. 更新所有使用舊密鑰的應用配置
  3. 禁用并刪除舊密鑰，避免安全風險Tencent Cloud

4. 子賬號創(chuàng)建失敗

• 可能原因：
  • 主賬號未完成實名認證
  • 子賬號用戶名重復
  • 網絡問題
• 解決：
  1. 完成主賬號實名認證
  2. 更換唯一用戶名
  3. 刷新頁面或更換瀏覽器重試Tencent Cloud

五、快速操作清單（一鍵核對）