腾讯云 STS 角色创建与获取 RoleArn 指南

CloudQ — 腾讯云智能顾问

🚀 整个过程只需 2 步，约 3 分钟即可完成。

准备工作

在开始之前，请确认你已具备：

● ✅ 一个腾讯云账号（主账号或具有 CAM 管理权限的子账号）

第一步：创建 CAM 角色

你需要在腾讯云 CAM 控制台创建一个可被 STS AssumeRole 扮演的角色。

1.1 进入创建入口

1. 登录 腾讯云 CAM 控制台 — 角色
2. 在左侧导航栏点击「角色」
3. 点击页面上方的「新建角色」

1.2 选择角色载体

在弹出的「选择角色载体」窗口中，选择 「腾讯云账户」（授权主账号或者其他主账号通过角色使用您的云资源）：

在弹出的「选择角色载体」窗口中，选择 「腾讯云账户」

1.3 输入角色载体信息

选择云账号类型为 「其他主账号」，在账号 ID 输入框中填写：

91000000224

勾选 「允许当前角色访问控制台」，然后点击 「下一步」。

勾选 「允许当前角色访问控制台」，然后点击 「下一步」。

💡 这里填入的账号 ID必须得是91000000224，用于后续角色免密登陆和调用 STS AssumeRole 时所使用密钥对应的主账号 UIN。

1.4 配置角色策略

在策略列表中搜索并勾选以下两个预设策略：

⚠️ 权限原则：默认授予智能顾问读写权限，其余云产品仅授予只读权限。

💡 如需更精细的权限管控（如主子账号的权限隔离），可创建自定义策略并绑定到对应角色。

1.5 填写角色信息并完成审阅

审阅角色配置信息

审阅页面会显示完整的角色配置信息：

● 角色载体：账号-91000000224

● 访问类型：编程访问，腾讯云控制台访问

● 策略名称：QcloudAdvisorAccessForCloudQ、ReadOnlyAccess

确认无误后，点击 「完成」，角色即创建成功 🎉

第二步：获取 RoleArn

角色创建成功后，你需要获取该角色的 RoleArn（角色资源描述符），用于后续调用 STS AssumeRole 接口时传入。

2.1 在控制台查看

1. 进入 CAM 角色列表
2. 在列表中找到刚创建的角色 CloudQ，点击角色名称进入详情页
3. 在页面顶部的「基本信息」区域，可以看到 RoleArn 字段，点击右侧复制按钮即可复制

2.2 RoleArn 格式说明

RoleArn 的格式如下：

qcs::cam::uin/<主账号UIN>:roleName/<角色名称>

各部分含义：

完整示例：

qcs::cam::uin/100012345678:roleName/CloudQ

复制该 RoleArn 后，将其填写到智能顾问的输入框中即可完成配置。

常见问题

角色创建后在列表中找不到？

1. 确认你登录的是创建角色时使用的同一主账号
2. 检查角色名称是否拼写正确
3. 刷新页面或稍等片刻后重试

不知道该选择哪个角色载体？

● 如果是同一账号内的服务需要扮演角色，选择「当前主账号」

● 如果是另一个腾讯云账号需要扮演角色，选择「其他主账号」并填入对方的账号 ID

● 如果是腾讯云产品服务需要扮演角色（如 CVM、SCF 等），选择「腾讯云产品服务」

RoleArn 格式报错？

1. 确认格式为 qcs::cam::uin/<UIN>:roleName/<角色名>
2. 确认 UIN 是主账号 UIN，而非子账号 UIN
3. 角色名称区分大小写，请确保与创建时一致

AssumeRole 调用报 AuthFailure.UnauthorizedOperation？

1. 确认调用方的账号已被添加为该角色的信任实体（即第 1.2 步中填写的账号）
2. 如果是子账号调用，需确认子账号拥有 sts:AssumeRole 权限

想更换角色绑定的策略怎么办？

进入 CAM 角色列表 → 点击角色名称 → 在「权限」标签页中添加或移除策略即可。

联系我们

如在操作过程中遇到问题，可通过以下方式获取帮助：

● 📋 CAM 角色管理文档

● 📋 STS AssumeRole 接口文档

● 💬 提交工单

​