如果您需要對您所擁有的翼MapReduce服務進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM），創建IAM子用戶，并給子用戶賦予不同的角色權限及企業項目權限。

如果主帳號已經能滿足您的要求，不需要創建更多的子用戶，您可以跳過本章節，不影響您使用翼MapReduce服務的其它功能。

創建用戶

1. 管理員登錄天翼云官網，點擊頁面右上角用戶名，在下拉列表中點擊“賬號中心”。

2. 在賬號中心頁面，點擊左側菜單欄中的“統一身份認證”進入IAM用戶管理頁面。

3. 點擊左側菜單欄欄中的“用戶”，在頁面中點擊“創建用戶”按鈕開啟創建。

用戶授權

默認情況下，管理員創建的IAM用戶沒有翼MR操作權限，需要為其賦予角色權限后，才能使該用戶獲得集群操作權限。您可以通過下表中的功能，為新增用戶授予權限。

賬號中心—統一身份認證服務

授予翼MR權限

管理員可以通過“賬號中心”-“統一身份認證服務”功能，為用戶組授予“翼MapReduce 管理員”或“翼MapReduce 用戶”權限。被授予“翼MapReduce 管理員”身份的用戶可以在翼MR控制臺內進行IAM用戶同步、新建角色、編輯角色、刪除角色、刪除集群、查看所在企業項目的集群等操作；被授予“翼MapReduce 用戶”身份的用戶可以在翼MR集群列表中查看到所在企業項目的集群。具體操作可參考文檔用戶組授權。

授予企業項目權限

管理員可在“賬號中心”-“統一身份認證服務”功能中，通過用戶組授權或基于企業項目完成授權兩種方式，為用戶授予在目標企業項目下的翼MR使用權限。授權后，用戶可在翼MR控制臺看到該企業項目下的集群。

集群創建后，若希望將集群從當前企業項目遷出，并遷入到新的企業項目中，可參考企業項目資源遷出/遷入。遷移時，請同步遷移與集群存在綁定關系的資源，如虛擬私有云、彈性IP等產品。

翼MR控制臺-用戶管理

為支持IAM用戶使用翼MR集群，需要將新增IAM用戶的信息同步至翼MR產品。翼MapReduce管理員可前往“翼MR控制臺”—“用戶管理”頁面，點擊“IAM同步”，翼MR將從IAM中獲取最新用戶數據，并將狀態為啟用的子用戶同步到翼MR控制臺的“用戶管理”中。

翼MR控制臺-角色管理

翼MapReduce管理員可在“翼MR控制臺”—“用戶管理”頁面進行集群角色管理。通過創建與編輯角色，可為該角色授予集群的具體操作權限，如查看集群基礎信息、管理節點、產看操作日志、下載客戶端等。創建的角色可在具體集群內被綁定給目標用戶，使得該用戶具備集群操作權限。

翼MR集群-用戶權限

集群管理員與擁有“用戶角色添加”權限的用戶，可在集群內的“用戶權限”頁面，為已同步至翼MR的IAM用戶授予創建好的集群角色，使得新增用戶具備集群使用權限。