如果您需要針對統一身份認證服務，為企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務IAM進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制資源的訪問。

通過IAM，您可以使用主賬號給員工創建IAM用戶，并授權控制他們對資源的訪問范圍。例如您希望某些員工擁有IAM的查看權限，但是不希望他們擁有刪除IAM用戶、禁止用戶登錄等高危操作的權限，那么您可以使用IAM為項目規劃人員創建IAM用戶，通過授予僅能查看IAM，但是不允許使用IAM的權限，控制他們對IAM控制臺的使用范圍。

IAM權限

默認情況下，賬號創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略及綁定范圍，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

IAM部署時不區分物理區域，為全局級服務。授權時，在全局級服務中設置權限，訪問IAM時，不需要切換區域。

IAM目前提供的系統策略

如下表所示，IAM目前提供的系統策略如下。

常用操作與IAM系統策略的關系

下表列出了IAM常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

ctiam admin策略內容

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "ctiam::"
            ],
            "Effect": "Allow"
        }
    ]
}

ctiam viewer 策略內容

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "ctiam:*:get",
                "ctiam::get",
                "ctiam:*:list",
                "ctiam::list"
            ],
            "Effect": "Allow"
        }
    ]
}