如果您需要對云服(fu)(fu)務平臺(tai)上創建的(de)DCS資(zi)源，給企業中(zhong)的(de)員工設(she)置(zhi)不同的(de)訪(fang)問權限，以(yi)達到不同員工之間的(de)權限隔離，您可以(yi)使用統一身份(fen)認(ren)證服(fu)(fu)務（Identity and Access Management，簡(jian)稱(cheng)IAM）進行精細的(de)權限管理。該(gai)服(fu)(fu)務提供用戶身份(fen)認(ren)證、權限分配(pei)、訪(fang)問控制等功能，可以(yi)幫助您安全(quan)的(de)控制云服(fu)(fu)務資(zi)源的(de)訪(fang)問。

通過(guo)(guo)IAM，您(nin)可(ke)以在云服務帳號中給員工創建IAM用(yong)戶(hu)，并使(shi)(shi)用(yong)策(ce)略來控(kong)制IAM用(yong)戶(hu)對(dui)云服務資源的(de)(de)訪問范圍。例(li)(li)(li)如(ru)您(nin)的(de)(de)員工中有(you)負責軟件開發的(de)(de)人員，您(nin)希望(wang)他(ta)們擁有(you)DCS的(de)(de)使(shi)(shi)用(yong)權限(xian)，但(dan)是不希望(wang)他(ta)們擁有(you)刪(shan)(shan)除(chu)DCS實例(li)(li)(li)等(deng)高危操作的(de)(de)權限(xian)，那么您(nin)可(ke)以使(shi)(shi)用(yong)IAM為(wei)開發人員創建用(yong)戶(hu)，通過(guo)(guo)授予(yu)僅能使(shi)(shi)用(yong)DCS，但(dan)是不允許(xu)刪(shan)(shan)除(chu)DCS實例(li)(li)(li)的(de)(de)權限(xian)策(ce)略，控(kong)制他(ta)們對(dui)DCS資源的(de)(de)使(shi)(shi)用(yong)范圍。

如果帳號已經能滿足您(nin)的要求，不(bu)需要創建獨立的IAM用戶進行(xing)權限管理，您(nin)可以跳(tiao)過本章節，不(bu)影響您(nin)使(shi)用DCS服務的其(qi)它功(gong)能。

DCS權限

默認情況下(xia)，帳號管理員創建的(de)IAM用(yong)(yong)戶(hu)沒有任何權(quan)限，需要將其加入用(yong)(yong)戶(hu)組，并(bing)給(gei)用(yong)(yong)戶(hu)組授(shou)予(yu)(yu)策略或(huo)角色，才能使得(de)用(yong)(yong)戶(hu)組中(zhong)的(de)用(yong)(yong)戶(hu)獲得(de)對應的(de)權(quan)限，這一過程稱為授(shou)權(quan)。授(shou)權(quan)后，用(yong)(yong)戶(hu)就可(ke)以基(ji)于被授(shou)予(yu)(yu)的(de)權(quan)限對云服務進(jin)行操作。

DCS部署時通過物(wu)理區(qu)(qu)域(yu)(yu)劃分(fen)，為(wei)項(xiang)(xiang)目級服(fu)務。授權時，“作用范(fan)圍”需要選擇“區(qu)(qu)域(yu)(yu)級項(xiang)(xiang)目”，然后在指定區(qu)(qu)域(yu)(yu)中設置相關權限，并且該(gai)權限僅對此(ci)項(xiang)(xiang)目生(sheng)效；如果在“所有(you)項(xiang)(xiang)目”中設置權限，則該(gai)權限在所有(you)區(qu)(qu)域(yu)(yu)項(xiang)(xiang)目中都生(sheng)效。訪(fang)問DCS時，需要先(xian)切(qie)換至授權區(qu)(qu)域(yu)(yu)。

權限(xian)根據授權精細(xi)程度分為角(jiao)色(se)和(he)策略(lve)。

• 角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于云服務平臺各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
• 策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對DCS服務，帳號管理員能夠控制IAM用戶僅能對DCS實例進行指定的管理操作。權限策略以API接口為粒度進行權限拆分，權限的最小粒度為API授權項（action）。

如下表所示，包括了DCS的所有系統(tong)權限(xian)。

DCS系統策略

由于(yu)DCS UserAccess策略(lve)和DCS FullAccess策略(lve)存在差(cha)異，如果您同(tong)時(shi)配置了這(zhe)兩(liang)個(ge)系統策略(lve)，由于(yu)DCS UserAccess策略(lve)存在Deny，根據Deny優先原則，您無法執行實例創建(jian)、修改、刪除、擴容和縮容操作。

下表列出了DCS常用操作與(yu)系(xi)統(tong)策略的授權關系(xi)，您可以參照該表選擇合(he)適的系(xi)統(tong)策略。

常用操作與(yu)系統(tong)策略的關系