在協同使用資源的場景下，根據實際的職責權限情況，您可以創建多個IAM用戶并為其授予不同的權限，實現不同IAM子用戶可以分權管理不同的資源，從而提高管理效率，降低信息泄露風險。本文介紹如何創建IAM子用戶并授予特定權限策略，從而控制對云硬盤備份VBS資源的訪問。

操作步驟如下：

第1步：創建IAM子用戶

具體操作，請參見統一身份認證IAM-創建用戶。

第2步：創建自定義策略

天翼云提供了訪問云硬盤備份VBS資源的系統策略，更多信息，請參見“統一身份認證IAM-權限管理”。如果系統策略不能滿足需求，您還可以創建自定義策略，具體操作，請參見統一身份認證IAM-創建自定義策略。

策略分為用戶可以自行定義的自定義策略，以及預定義在平臺錄入的系統策略兩類。

細粒度授權策略結構包括策略版本號（Version）及策略授權語句（Statement）列表。

• 策略版本號：Version，標識策略結構的版本號。目前為1.1。

• 策略授權語句：Statement，包括了基本元素：作用（Effect）和授權項（Action）。

• 作用（Effect）包含兩種：允許（Allow）和拒絕（Deny）。

• 授權項（Action）是對資源的具體操作權限，支持單個或多個操作權限。

a）腳本配置策略示例一：為IAM子用戶配置云硬盤備份查看者權限。

{
        "Version": "1.1",
        "Statement": [
                {
                        "Action": [
                                "vbs: backupStrategy: list",
                                "vbs: repository: list",
                                "vbs: repository: get",
                                "vbs: backup: list",
                                "vbs: backupStrategy: get",
                                "vbs: job: list"
                        ],
                        "Effect": "Allow"
                }
        ]
}

b）腳本配置策略示例二：為IAM子用戶配置云硬盤備份所有操作權限。

{
        "Version": "1.1",
        "Statement": [
                {
                        "Action": [
                                "vbs: repository: create",
                                "vbs: backupStrategy: list",
                                "vbs: repository: update",
                                "vbs: repository: delete",
                                "vbs: backup: create",
                                "vbs: repository: list",
                                "vbs: repository: get",
                                "vbs: backup: list",
                                "vbs: repository: set",
                                "vbs: backupStrategy: binding",
                                "vbs: backup: restore",
                                "vbs: backup: delete",
                                "vbs: backupStrategy: create",
                                "vbs: backupStrategy: set",
                                "vbs: backupStrategy: enable",
                                "vbs: backupStrategy: pause",
                                "vbs: backupStrategy: unbinding",
                                "vbs: backupStrategy: delete",
                                "vbs: backupStrategy: get",
                        ],
                        "Effect": "Allow"
                }
        ]
}

第3步：授權自定義策略

授予IAM用戶訪問所創建的自定義策略范圍中的資源，具體操作，請參見統一身份認證IAM-用戶組授權、統一身份認證IAM-基于企業項目完成授權。

第4步：授權系統策略

您也可以直接使用天翼云預制的產品系統策略對IAM子用戶進行授權。