數據權限控制

數據權限用于控制主子帳號能訪問的數據不一樣。主賬號看到所有實例，子賬號只能看到所屬項目中的實例。其權限碼為統一值instance-list，只有在策略中授予instance-list的權限碼才具備查看實例的權限。如果在用戶組授權包含instance-list的策略，則該用戶組的子用戶能看到所有實例。如果在企業項目中的用戶組授權包含instance-list的策略，則該用戶組的子用戶只能看到該企業項目下的實例。

操作步驟：

進入IAM管理頁面：

• 登錄天翼云官網，鼠標懸浮至右上角個人信息，點擊個人信息進入賬號中心頁面
• 在帳號中心頁面中，點擊統一認證服務進入IAM管理頁面

創建用戶組：

• 在IAM管理頁面中，點擊左側菜單欄中用戶組進入用戶組管理頁面
• 在用戶組管理頁面中，點擊創建用戶組按鈕，在彈出框中填寫用戶組名稱與描述，點擊確定即可

創建子用戶：

• 在IAM管理頁面中，點擊左側菜單欄中用戶進入用戶管理頁面
• 在用戶管理頁面中，點擊創建用戶按鈕，進入創建頁面
• 在創建頁面中，首先需要配置用戶基本信息。填寫用戶名稱、手機號、郵箱和密碼等信息，點擊下一步加入用戶組
• 在加入用戶組頁面，選擇對應的用戶組，點擊添加按鈕加入已選用戶組，點擊下一步即可

創建企業項目：

• 在IAM管理頁面中，點擊左側菜單欄中企業項目進入企業項目管理頁面
• 在企業項目管理頁面中，點擊創建企業項目按鈕，在彈出框中填寫企業項目名稱與描述，點擊確定即可

在企業項目中添加用戶組：

• 在企業項目管理頁面中，點擊企業項目的查看用戶組按鈕進入企業項目的用戶組管理頁面
• 在企業項目的用戶組管理頁面中，點擊設置用戶組按鈕，彈出設置用戶組彈框
• 在彈出框中，選擇用戶組再點擊>按鈕加入已選用戶組，最后點擊確定按鈕即可

對企業項目中的用戶組設置策略：

• 在企業項目管理頁面中，點擊企業項目的查看用戶組按鈕進入企業項目的用戶組管理頁面
• 在企業項目的用戶組管理頁面中，點擊用戶組的設置策略按鈕彈出設置策略彈框
• 在彈出框中選擇對應策略，點擊>按鈕加入已選策略，最后點擊確定按鈕即可

功能權限控制

主賬號可以通過給用戶組授權策略實現對子賬號的功能權限，策略包括系統策略和自定義策略。策略中可定義“允許”的操作和“拒絕”的操作，多個策略以”or”的關系進行評估，總體遵循Deny優先原則。

操作步驟：

進入IAM管理頁面：

• 登錄天翼云官網，鼠標懸浮至右上角個人信息，點擊“個人信息”進入賬號中心頁面
• 在帳號中心頁面中，點擊“統一認證服務”進入IAM管理頁面

創建用戶組：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶組”進入用戶組管理頁面
• 在用戶組管理頁面中，點擊“創建用戶組”按鈕，在彈出框中填寫用戶組名稱與描述，點擊確定即可

創建子用戶：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶”進入用戶管理頁面
• 在用戶管理頁面中，點擊“創建用戶”按鈕，進入創建頁面
• 在創建頁面中，首先需要配置用戶基本信息。填寫用戶名稱、手機號、郵箱和密碼等信息，點擊下一步加入用戶組
• 在加入用戶組頁面，選擇對應的用戶組，點擊“添加”按鈕加入已選用戶組，點擊下一步即可

創建策略：

• 在IAM管理頁面中，點擊左側菜單欄中“策略管理”進入用戶組管理頁面
• 在策略管理頁面中，點擊“創建自定義策略”，進入創建頁面
• 在創建頁面中，填寫策略名稱與策略描述，點擊下一步
• 進入設置策略內容頁面，可選擇可視化視圖和JSON視圖。可視化視圖中支持選擇效果，云服務，操作，資源等信息，操作更靈活。JSON視圖支持手動配置權限組，權限展示更加清晰。點擊保存即成功創建自定義策略

授權：

• 在IAM管理頁面中，點擊左側菜單欄中“用戶組”進入用戶組管理頁面
• 在用戶組管理頁面中，點擊對應用戶組的“授權”按鈕，進入授權頁面
• 在授權頁面中，勾選對應策略，點擊下一步進入設置授權范圍頁面
• 在設置授權范圍頁面中，選擇授權范圍，點擊“確定”按鈕就可完成授權