概述

云原生網關目前已接入主子賬號體系，通過主賬號對子賬號并對其分配訪問權限，用戶可以實現對企業中云服務和資源的訪問及操作權限，避免賬號濫用。主子帳號支持數據權限管理與功能權限管理，支持系統策略和自定義策略的授權方式。本章介紹如何使用主子賬號體系進行權限管理。

術語解釋

主賬號 ：用戶在天翼云注冊后自動創建，該賬號對其所擁有的資源具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。如果需要多人共同使用天翼云資源，由于賬號是付費主體為了確保賬號安全，建議創建子用戶來進行日常管理工作。

子賬號 ：主賬號認證為企業賬號后，在天翼云用戶中心頁面創建出來的賬號。子賬號的用戶名、密碼統一由主賬號創建管理。子賬號同樣可以登錄訪問天翼云控制臺，登錄入口與主賬號相同，受主賬號賦予的權限限制。

企業項目： 將云資源、企業成員按項目進行管理，通過企業項目將云資源、帶有權限的用戶組綁定到一起，用戶使用項目內云資源的權限受用戶組的授權限制。

說明
一個實例只能歸屬一個企業項目（可變更），一個子賬號可以同時在多個企業項目中。

策略： 是描述一組權限集的語言，它可以精確地描述被授權的資源集和操作集，通過策略，用戶可以自由搭配需要授予的權限集。通過給用戶組授予策略，用戶組中的用戶就能獲得策略中定義的權限。

系統策略： 系統預置的常用權限集，主要針對不同云服務的只讀權限或管理員權限，比如對組件的只讀權限、普通用戶權限和管理員權限等等；系統策略只能用于授權，不能編輯和修改。

云原生網關中提供了兩種系統策略：cgw viewer只讀權限，只能對實例資源進行讀操作；cgw admin管理權限，可以對實例資源進行管理維護，包括讀與寫操作，等同于主賬號訪問權限。

自定義策略： 創建自定義策略可以支持更細粒度的授權，對于云原生網關，可以自定義功能訪問權限以及資源訪問權限。

數據權限： 看到的數據不一樣。主賬號看到所有實例，子賬號只能看到所屬項目中的實例。

功能權限： 主賬號可以進行所有控制臺操作，子賬號對單個組件實例擁有的操作權限由主賬號授權。

功能權限授權： 給子賬號在企業項目A下增加一個策略，即代表該子賬號對企業項目A下的實例擁有了策略中定義的權限，策略以外的操作會被禁止。