概述

MSE注冊配置中心已接入主子賬號體系，可區分兩種賬號權限，實現主賬號對子賬號的數據權限管理與功能權限管理，支持系統策略和自定義策略的授權方式。本章介紹如何使用主子賬號體系管理子賬號權限。

背景

1. 主賬號 ：用戶在天翼云注冊后自動創建，該賬號對其所擁有的資源具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。如果需要多人共同使用天翼云資源，由于賬號是付費主體為了確保賬號安全，建議創建子用戶來進行日常管理工作。
2. 子賬號 ：主賬號認證為企業賬號后，在天翼云用戶中心頁面創建出來的賬號。子賬號的用戶名、密碼統一由主賬號創建管理。子賬號同樣可以登錄訪問天翼云控制臺，登錄入口與主賬號相同，受主賬號賦予的權限限制。
3. 企業項目： 將云資源、企業成員按項目進行管理，通過企業項目將云資源、帶有權限的用戶組綁定到一起，用戶使用項目內云資源的權限受用戶組的授權限制。

注意
一個實例只能歸屬一個企業項目（可變更），一個子賬號可以同時在多個企業項目中。

4. 策略： 是描述一組權限集的語言，它可以精確地描述被授權的資源集和操作集，通過策略，用戶可以自由搭配需要授予的權限集。通過給用戶組授予策略，用戶組中的用戶就能獲得策略中定義的權限。
5. 系統策略： 系統預置的常用權限集，主要針對不同云服務的只讀權限或管理員權限，比如對組件的只讀權限、普通用戶權限和管理員權限等等；系統策略只能用于授權，不能編輯和修改。
6. 數據權限： 看到的數據不一樣。主賬號看到所有實例，子賬號只能看到所屬項目中的實例。
7. 功能權限： 主賬號可以進行所有控制臺操作，子賬號對單個組件實例擁有的操作權限由主賬號授權。
8. 功能權限授權： 給子賬號在企業項目A下增加一個策略，即代表該子賬號對企業項目A下的實例擁有了策略中定義的權限，策略以外的操作會被禁止。

數據權限控制

數據權限的權限碼為統一值instance-list，策略中包含instance-list的權限碼才具備查看實例的權限。如果在用戶組直接授權包含instance-list的策略，則該用戶組的子用戶能看到所有實例。如果在企業項目中的用戶組授權包含instance-list的策略，則該用戶組的子用戶只能看到該企業項目下的實例。

操作步驟：

1. 進入IAM管理頁面：

• 登錄天翼云官網，鼠標懸浮至右上角個人信息，點擊個人信息進入賬號中心頁面。
• 在賬號中心頁面中，點擊統一認證服務進入IAM管理頁面。

2. 創建用戶組：

• 在IAM管理頁面中，點擊左側菜單欄中用戶組進入用戶組管理頁面。
• 在用戶組管理頁面中，點擊創建用戶組按鈕，在彈出框中填寫用戶組名稱與描述，點擊確定即可。

3. 創建子用戶：

• 在IAM管理頁面中，點擊左側菜單欄中用戶進入用戶管理頁面。
• 在用戶管理頁面中，點擊創建用戶按鈕，進入創建頁面。
• 在創建頁面中，首先需要配置用戶基本信息。填寫用戶名稱、手機號、郵箱和密碼等信息，點擊下一步加入用戶組。
• 在加入用戶組頁面，選擇對應的用戶組，點擊添加按鈕加入已選用戶組，點擊下一步即可。

4. 創建企業項目：

• 在IAM管理頁面中，點擊左側菜單欄中企業項目進入企業項目管理頁面。
• 在企業項目管理頁面中，點擊創建企業項目按鈕，在彈出框中填寫企業項目名稱與描述，點擊確定即可。

5. 在企業項目中添加用戶組：

• 在企業項目管理頁面中，點擊企業項目的查看用戶組按鈕進入企業項目的用戶組管理頁面。
• 在企業項目的用戶組管理頁面中，點擊設置用戶組按鈕，彈出設置用戶組彈框。
• 在彈出框中，選擇用戶組再點擊>按鈕加入已選用戶組，最后點擊確定按鈕即可。

6. 對企業項目中的用戶組設置策略：

• 在企業項目管理頁面中，點擊企業項目的查看用戶組按鈕進入企業項目的用戶組管理頁面。
• 在企業項目的用戶組管理頁面中，點擊用戶組的設置策略按鈕彈出設置策略彈框。
• 在彈出框中選擇對應策略，點擊>按鈕加入已選策略，最后點擊確定按鈕即可。

功能權限控制

主賬號對子賬號的功能權限控制是通過給用戶組授權策略實現的，策略包括系統策略和自定義策略。策略中可定義“允許”的操作和“拒絕”的操作，“拒絕”的優先級大于“允許”。

操作步驟：

1. 進入IAM管理頁面：

• 登錄天翼云官網，鼠標懸浮至右上角個人信息，點擊“個人信息”進入賬號中心頁面。
• 在賬號中心頁面中，點擊“統一認證服務”進入IAM管理頁面。

2. 創建用戶組：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶組”進入用戶組管理頁面。
• 在用戶組管理頁面中，點擊“創建用戶組”按鈕，在彈出框中填寫用戶組名稱與描述，點擊確定即可。

3. 創建子用戶：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶”進入用戶管理頁面。
• 在用戶管理頁面中，點擊“創建用戶”按鈕，進入創建頁面。
• 在創建頁面中，首先需要配置用戶基本信息。填寫用戶名稱、手機號、郵箱和密碼等信息，點擊下一步加入用戶組。
• 在加入用戶組頁面，選擇對應的用戶組，點擊“添加”按鈕加入已選用戶組，點擊下一步即可。

4. 授權：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶組”進入用戶組管理頁面。
• 在用戶組管理頁面中，點擊對應用戶組的“授權”按鈕，進入授權頁面。
• 在授權頁面中，勾選對應策略，點擊下一步進入設置授權范圍頁面。
• 在設置授權范圍頁面中，選擇授權范圍，點擊“確定”按鈕就可完成授權。