子账号收到 "请求失败，您没有权限执行操作" 的错误消息该如何处理 #

问题描述

子账号在操作 CDN 时收到了类似以下的错误：

• 请求失败，您没有权限执行操作

例如，子账号收到的实际错误如下：

问题原因

出现该问题的原因是子账号没有该资源的操作权限。子账号可以遵照以下步骤在访问控制中查看并确认其是否有该资源的操作权限。

1. 打开 访问控制下的用户管理。
2. 找到子账号的用户名，然后在 操作 列点击 管理。
3. 在 用户详情 页面，点击 权限，然后点击 项目权限。
   
4. 检查该子用户是否被授予了资源的相关策略。如果已授予，点击该策略的作用范围，也就是项目。
   
   在 项目详情 页面，查看您尝试操作的资源是否包含在该项目中。
   

解决方法
如果子用户未被授予资源的相关策略，参考 系统预设策略 对子用户添加相应的策略。

如果相关策略已被授予，但是子用户尝试操作的资源未包含在该项目中，您需要将需要操作的资源移入该项目，或者在该策略的作用范围中添加包含该资源的项目。

如果您尝试操作的资源已包含在该项目中，请 提交工单。

子账户收到 "请求失败，未授权访问xxx，请检查权限" 的错误消息该如何处理 #

问题描述

子账号在操作 CDN 时收到了类似以下的错误：

• 请求失败，您没有权限执行操作

如果您在子账户下操作时，遇到报错：请求失败，您没有权限执行操作，例如：

问题原因

出现该问题的原因是主账号未授予 CDN 访问其他火山引擎云服务的权限，例如证书中心，对象存储等。在火山引擎中，云服务间的访问授权是通过角色来实现的。您可以使用主账号检查权限是否被授予了。

1. 打开 访问控制下的角色管理。
2. 角色页面的列表中出现的是当前 CDN 拥有的角色。您需要检查相应的角色是否在列表中。
   • ServiceRoleForCDN：授权 CDN 访问对象存储，日志服务，证书中心，边缘函数。
   • CDNAccessSSLRole：授权 CDN 访问证书中心。
   • CDNAccessSparrowRole：授权 CDN 访问边缘函数。
     

解决方法

要解决该问题，根据您的场景使用主账号授权 CDN 访问相关服务。

场景一：授予 CDN 访问所有服务。这些服务包括对象存储，日志服务，证书中心，边缘函数。

1. 打开 访问控制下的角色管理。
2. 点击 新建角色。
3. 在 新建角色 页面，做以下配置：
   • 在 选择信任身份类型 下方，选择 服务。
   • 在 选择服务 列表中，选择 内容分发网络。
   • 勾选 创建为服务关联角色（ServiceLinkedRole）。
     
4. 点击两次 下一步，然后点击 提交。

场景二：授权 CDN 访问单个服务。当前，您仅可授权 CDN 访问证书中心或边缘函数。

1. 打开 访问控制下的角色管理。
2. 点击 新建角色。
3. 在 新建角色 页面，做以下配置，然后点击 下一步：
   • 在 选择信任身份类型 下方，选择 服务。
   • 在 选择服务 列表中，选择 内容分发网络。
   • 不勾选 创建为服务关联角色（ServiceLinkedRole）。
4. 输入一个角色名称，然后点击 下一步。
5. 如果您要授权 CDN 访问证书中心，在策略搜索框，输入 CDNAccessSSLRole，然后勾选该策略。 如果您要授权 CDN 访问边缘函数，在策略搜索框，输入 CDNAccessSparrowRolePolicy，然后勾选该策略。
6. 点击 提交。
   

子用户创建 CDN API AK/SK 提示无权限怎么办？ #

子用户使用 CDN API 需要 AK/SK；如果在密钥管理中新建或管理 AK/SK 提示无权限，请由主账号或具备访问控制权限的管理员为该子用户授予 AccessKeySelfManageAccess 权限策略。授权后，子用户可在访问控制或密钥管理页面创建和管理自己的 AccessKey；同时需妥善保管 SK，避免硬编码或公开泄露。

可以更换加速域名所关联的项目吗 #

可以。您可以遵循以下步骤将一个加速域名从项目 A 移动到项目 B 下。

1. 打开 访问控制下的项目管理。
2. 在项目列表中，点击项目 A。
3. 在项目 A 中勾选需要移出的加速域名，然后点击 移出。
   
4. 在 移出资源 页面，选择项目 B 作为目标项目，然后点击 确认。