在使用云搜索服務的過程中，如果需要給企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全控制云服務資源的訪問。

如果當前帳號已經能滿足您的需求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用ES服務的其它功能。

通過IAM，您可以在帳號中給員工創建IAM用戶，并授權控制IAM用戶對資源的訪問范圍，而且無需付費即可使用，您只需要為使用中的資源進行付費。關于IAM的詳細介紹，請參見，請參見《IAM產品介紹》。

ES權限

默認情況下，ES服務管理員創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為“授權”。授權后，用戶就可以基于被授予的權限對云服務進行操作。

ES是項目級服務，部署時通過物理區域劃分，需要在各區域對應的項目中設置策略，并且該策略僅對此項目生效，如果需要所有區域都生效，則需要在所有項目都設置策略。訪問ES時，需要先切換至授權區域。

根據授權精細程度分為角色和策略。

• 角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
• 策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：ES服務管理員能夠控制IAM用戶僅能對某一類云服務器資源進行指定的管理操作。多數細粒度策略以API接口為粒度進行權限拆分，ES服務支持的API授權項請參見權限策略和授權。

如下表所示，包括了ES的所有系統權限。

• 對于Elasticsearch Administrator，由于各服務之間存在業務交互關系，ES的角色依賴其他服務的角色實現功能。因此給用戶授予ES的角色時，需要同時授予依賴的角色，ES的權限才能生效。
• 對于ES FullAccess和ES ReadOnlyAccess，可使用這些策略來控制對云服務資源的訪問范圍。例如，您的員工中有負責軟件開發的人員，您希望軟件開發人員擁有ES的使用權限，但是不希望軟件開發人員擁有刪除ES等高危操作的權限，那么您可以使用IAM為開發人員創建IAM用戶，通過授予僅能使用ES但不允許刪除ES的權限，控制對ES資源的使用范圍。

ES系統權限

如下表所示列出了ES常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

常用操作與系統權限的關系