為確保您的天翼云賬號及云資源使用安全，如非必要都應避免直接使用天翼云賬號（即主賬號）來訪問函數計算。推薦的做法是使用IAM身份（即IAM用戶和IAM委托）來訪問函數計算。

IAM用戶

IAM用戶需要由天翼云賬號（即主賬號）或擁有管理員權限的IAM用戶、IAM委托來創建，且必須在獲得授權后才能登錄控制臺或使用API訪問天翼云賬號下的資源。

對于IAM用戶的使用，建議您：

• 使用天翼云賬號創建一個IAM用戶，并為IAM用戶授予管理員權限，后續使用有管理員權限的IAM用戶創建并管理其他IAM用戶。

• 將人員用戶和程序用戶分離。

  創建IAM用戶時，支持設置控制臺訪問和OpenAPI調用訪問兩種訪問方式。控制臺用戶使用賬號密碼訪問云產品控制臺，API用戶使用訪問密鑰AK（AccessKey）調用API訪問云資源。建議您將兩個不同的使用場景分離，避免誤操作導致服務受到影響。對于通過控制臺訪問的用戶，推薦為其開啟MFA多因素認證。

• 按需為IAM用戶分配最小權限。

  最小權限是指授予用戶執行某項任務所需的權限，不授予其他無需用到的權限。最小授權可以避免用戶操作權限過大，提高數據安全性，減少因權限濫用導致的安全風險。

• 不要把IAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中，否則可能導致AK泄露，威脅您賬號下所有資源的安全。建議您使用STS或環境變量等方式獲取訪問授權。

• 滿足條件時對IAM用戶設置SSO單點登錄功能，實現直接使用企業自有的身份登錄并訪問天翼云資源。

IAM用戶組

當您的天翼云賬號下有多個IAM用戶時，可以通過創建用戶組對職責相同的IAM用戶進行分組管理和批量授權，實現高效地管理IAM用戶及其權限。對于IAM用戶組的使用，建議您：

• 在對IAM用戶組授權時遵循最小權限策略原則。
• 在IAM用戶職責發生變化時將其從不再歸屬的用戶組中移除，避免權限濫用。
• 在某個用戶組不再需要某些權限時移除用戶組對應的權限。

IAM委托

IAM委托是一種虛擬用戶，可以被授予一組權限策略。與IAM用戶不同，IAM委托沒有永久身份憑證（登錄密碼或訪問密鑰），需要被一個可信實體扮演。扮演成功后，可信實體將獲得IAM角色的臨時身份憑證，即安全令牌（STS Token），使用該安全令牌就能以IAM角色身份訪問被授權的資源。