一、核心前提：獲取自助管理密鑰權(quán)限

主賬號需授予的權(quán)限策略

二、自助重置完整操作步驟（子賬號視角）

步驟 1：登錄控制臺并進入密鑰管理頁

1. 用子賬號憑證登錄騰訊云控制臺
2. 點擊右上角用戶頭像 → 選擇訪問管理（或直接訪問CAM 控制臺）
3. 左側(cè)導(dǎo)航欄選擇訪問密鑰 → API 密鑰管理（子賬號專屬密鑰管理入口）騰訊云
4. 確認頁面顯示的是當前子賬號的密鑰列表（非主賬號密鑰）

步驟 2：禁用舊密鑰（安全優(yōu)先，避免誤刪導(dǎo)致業(yè)務(wù)中斷）

1. 在密鑰列表中，找到待重置的密鑰，點擊操作列的禁用
2. 彈出確認框，勾選 “我已確認禁用此 API 密鑰”，點擊確定
3. 驗證：密鑰狀態(tài)變?yōu)?span style="font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-alternates: normal; font-size-adjust: none; font-kerning: auto; font-optical-sizing: auto; font-feature-settings: normal; font-variation-settings: normal; font-variant-position: normal; font-variant-emoji: normal; font-stretch: normal; font-weight: 700; line-height: 24px; flex: 0 1 auto; flex-direction: row; justify-content: normal; align-items: normal; padding: 0px; margin: 0px; background: none 0% 0% / auto repeat scroll padding-box border-box rgba(0, 0, 0, 0);">已禁用（此時使用舊密鑰的業(yè)務(wù)會中斷，需快速推進后續(xù)步驟）

步驟 3：刪除舊密鑰（釋放密鑰額度，為新建做準備）

1. 對已禁用的密鑰，點擊操作列的刪除
2. 二次確認：“API 密鑰刪除后無法恢復(fù)，是否繼續(xù)？” → 點擊確定
3. 限制說明：每個子賬號最多創(chuàng)建2 個密鑰（禁用 / 啟用狀態(tài)均計入額度），必須刪除舊密鑰才能新建Tencent Cloud

步驟 4：創(chuàng)建新 API 密鑰（核心操作，獲取新憑證）

1. 點擊頁面左上角新建密鑰（藍色按鈕，權(quán)限足夠時才會顯示）
2. 完成子賬號二次驗證（根據(jù)主賬號安全設(shè)置，可能是短信 / 郵箱驗證）
3. 系統(tǒng)生成新的SecretId（如AKIDz8krbsJ5yKBZQpn74WFkmLPx3*******）和SecretKey（如Gu5t9xGARNpq86cd98joQYCN3*******），彈出保存窗口
4. 立即保存（不可逆操作，關(guān)閉彈窗后無法再次查看 SecretKey）：
   • 復(fù)制 SecretId 和 SecretKey 到密碼管理器（如 1Password、LastPass）
   • 點擊下載 CSV 文件，備份到本地安全目錄（建議加密存儲）
5. 點擊確定關(guān)閉窗口（完成新密鑰創(chuàng)建）

步驟 5：業(yè)務(wù)切換與舊密鑰清理（確保業(yè)務(wù)連續(xù)性）

1. 先更新后停用：在所有使用舊密鑰的系統(tǒng)中配置新密鑰（如 CDN 預(yù)熱查詢腳本、運維平臺、監(jiān)控工具）
2. 測試新密鑰可用性（以 CDN 緩存預(yù)熱任務(wù)查詢?yōu)槔�）�?
   python

   運行

   # 新密鑰測試腳本（子賬號視角）
   import requests
   import time
   import hmac
   import hashlib
   import base64
   
   secret_id = "新SecretId"  # 替換為新生成的SecretId
   secret_key = "新SecretKey"  # 替換為新生成的SecretKey
   timestamp = int(time.time())
   nonce = 123456
   
   params = {
       "Action": "DescribeCdnRefreshTasks",
       "SecretId": secret_id,
       "Timestamp": timestamp,
       "Nonce": nonce,
       "SignatureMethod": "HmacSHA256",
       "TaskType": "preload"  # 僅查詢預(yù)熱任務(wù)
   }
   
   # 生成簽名（省略算法實現(xiàn)，可參考騰訊云API文檔）
   # ...
   
   response = requests.get("https://cdn.api.qcloud.com/v2/index.php", params=params)
   print(response.json())
   
3. 驗證結(jié)果：返回 200 狀態(tài)碼和任務(wù)列表，說明新密鑰權(quán)限正常
4. 確認業(yè)務(wù)正常后，徹底刪除舊密鑰（已禁用狀態(tài)可直接刪除），完成重置流程

三、重置后的關(guān)鍵驗證與安全規(guī)范

1. 權(quán)限與密鑰有效性驗證清單

2. 子賬號密鑰安全管理最佳實踐

四、常見問題與解決方案（子賬號視角）

1. 無法看到 “新建密鑰” 按鈕（權(quán)限不足）

• 原因：主賬號未授予QcloudCollApiKeyManageAccess權(quán)限
• 解決：
  1. 聯(lián)系主賬號添加該權(quán)限策略
  2. 主賬號操作路徑：子賬號詳情頁 → 權(quán)限 → 添加權(quán)限 → 搜索并關(guān)聯(lián)QcloudCollApiKeyManageAccess
  3. 刷新頁面后重試Tencent Cloud

2. 新建密鑰提示 “已達密鑰上限”

• 原因：子賬號已有 2 個密鑰（禁用 / 啟用狀態(tài)均計入）
• 解決：
  1. 檢查密鑰列表，找到未使用的冗余密鑰
  2. 先禁用再刪除冗余密鑰，釋放額度
  3. 重新嘗試新建密鑰Tencent Cloud

3. API 調(diào)用提示 “鑒權(quán)失敗”（重置后）

• 排查步驟：
  1. 核對新 SecretId/SecretKey 是否正確（無空格、拼寫錯誤或大小寫錯誤）
  2. 檢查密鑰狀態(tài)是否為啟用
  3. 確認子賬號權(quán)限包含QcloudCDNReadOnlyAccess
  4. 測試網(wǎng)絡(luò)連通性（CDN API 域名：cdn.api.qcloud.com）
  5. 檢查 API 請求簽名是否正確（可使用騰訊云 SDK 自動生成簽名）

4. 子賬號無法登錄控制臺（重置過程中）

• 原因：可能是主賬號限制了子賬號的控制臺訪問權(quán)限
• 解決：
  1. 聯(lián)系主賬號確認子賬號的控制臺訪問權(quán)限是否開啟
  2. 若僅需 API 調(diào)用，可通過主賬號協(xié)助重置密鑰（主賬號視角操作）
  3. 或使用 API 方式重置密鑰（需已掌握舊密鑰的調(diào)用權(quán)限）

五、快速操作清單（子賬號一鍵核對）