如果您需要在云上購買的APM資源，給企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制APM資源的訪問。

通過IAM，您可以在云帳號中給員工創建IAM用戶，并使用策略來控制員工對APM資源的訪問范圍。例如您的員工中有負責軟件開發的人員，您希望開發人員擁有APM的使用權限，但是不希望開發的人員擁有刪除服務發現規則等高危操作的權限，那么您可以使用IAM為開發人員創建用戶，通過授予僅能使用服務發現規則，但是不允許刪除服務發現規則的權限策略，控制服務對服務發現規則資源的使用范圍。

如果帳號已經能滿足您的使用需求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用APM的其它功能。

IAM是提供權限管理的基礎服務，無需付費即可使用，您只需要為您帳號中的資源進行付費。

APM權限

默認情況下，管理員創建的IAM用戶沒有任何權限，您需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對APM進行操作。

APM是全局級服務，在授予用戶APM權限時，默認對APM支持的所有區域生效。APM資源是租戶隔離的，當前租戶下所有子用戶共享資源，如果需要隔離資源，可以通過企業項目實現。

APM部署時不區分物理區域，為全局級服務。授權時，在“企業 > 項目管理”中設置權限，訪問APM時，不需要切換區域。

如表所示，包括了APM的所有系統權限。

表 APM系統權限

下表列出了APM常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

表 常用操作與系統權限的關系