對資源進行精細訪問控制

您可以使用統一身份認證（Identity and Access Management，簡稱IAM）服務對所擁有的Kafka服務進行精細的權限管理。IAM用戶的作用是多用戶協同操作同一帳號時，避免分享帳號的密碼。

您注冊后，系統自動創建帳號，帳號是對其所擁有的資源具有完全控制權限，可以訪問系統中所有的云服務。若您的團隊或應用程序需要使用您的Kafka資源，您可以為員工或應用程序創建IAM用戶，并授予IAM用戶剛好能完成工作所需的權限，新創建的IAM用戶可以使用自己單獨的用戶名和密碼登錄云服務平臺。

前提條件

基于IAM服務進行權限管理控制時，您需先了解Kafka的策略管理，包含Kafka所支持的系統策略管理，以及各策略間資源粒度的授權情況。

授權流程

左側導航欄分別包含“用戶組”、“子用戶”、“策略管理”、“企業項目”，用戶根據個人需要進行操作資源的權限控制。

授權具體流程為：創建IAM用戶 -> 創建用戶組并授權Kafka資源權限 -> 為IAM用戶授權，具體操作步驟如下：

創建IAM用戶

使用天翼云網門戶的用戶管理功能，給員工或應用程序創建IAM子用戶。

步驟 1 企業的天翼云管理員使用已注冊的天翼云帳號登錄天翼云網門戶。

步驟 2 鼠標移動至天翼云首頁右上角用戶頭像，在下拉列表中單擊“個人中心”。

步驟 3 個人中心左側菜單中，單擊“主子賬號及授權管理”。

步驟 4 在主子賬號及授權管理頁，單擊左側導航菜單中的“子用戶”。

步驟 5 在“子用戶”管理界面中，單擊“創建子用戶”。

步驟 6 在彈出的創建用戶對話框中，輸入子用戶信息。

步驟 7 單擊“確定”，完成IAM用戶創建，返回子用戶列表，將顯示新創建的IAM用戶。

創建用戶組并授權Kafka資源權限

（1）創建用戶組

步驟 1 使用已注冊的天翼云帳號登錄天翼云網門戶。

步驟 2 鼠標移動至天翼云首頁右上角用戶頭像，在下拉列表中單擊“個人中心”。

步驟 3 個人中心左側菜單中，單擊“主子賬號及授權管理”。

步驟 4 在主子賬號及授權管理頁，單擊左側導航菜單中的“用戶組”。

步驟 5 在“用戶組”管理界面中，單擊“創建用戶組”。

步驟 6 輸入“用戶組名稱”和“描述”，單擊“確定”。

返回用戶組列表頁，用戶組列表中將顯示新創建的用戶組。

（2）給用戶組授權

步驟 1 企業管理員使用已注冊的天翼云帳號登錄天翼云網門戶。

步驟 2 單擊首頁頂部控制臺，在控制中心頁面“管理與部署”類中，單擊“統一身份認證服務”。

步驟 3 在統一身份認證服務管理頁面，單擊左側功能菜單“用戶組”，單擊待添加授權用戶組右側的 “授權”。

步驟 4 用戶組選擇策略頁面中，勾選需要授予用戶組的權限。單擊“下一步”。

如果系統策略不滿足授權要求，可以單擊權限列表右上角的“新建策略”創建自定義策略，并勾選新創建的策略來進行精細的權限控制，自定義策略是對系統策略的擴展和補充。詳情請參考創建Kafka自定義策略。

為IAM用戶授權

步驟 1 管理員使用已注冊的天翼云帳號登錄天翼云網門戶。

步驟 2 鼠標移動至天翼云首頁右上角用戶頭像，在下拉列表中單擊“個人中心”。

步驟 3 個人中心左側菜單中，單擊“主子賬號及授權管理”。

步驟 4 在主子賬號及授權管理頁，單擊左側導航菜單中的“用戶組”。