授權管理

通過給(gei)子(zi)用(yong)戶(hu)(hu)或(huo)用(yong)戶(hu)(hu)組附加權限(xian)策(ce)略，子(zi)用(yong)戶(hu)(hu)或(huo)用(yong)戶(hu)(hu)組中(zhong)的所有子(zi)用(yong)戶(hu)(hu)就能(neng)獲得權限(xian)策(ce)略中(zhong)指定的云資(zi)源的訪(fang)問權限(xian)。

默認權限

• 主賬戶是資源的擁有者（所屬用戶），擁有對資源的所有控制權限。所屬用戶不一定是資源創建者。
• CIAM子用戶默認無任何權限，需要由主賬戶對其進行授權。如被授權創建資源，則CIAM子用戶不會自動擁有創建資源以外的任何權限，除非主賬戶對他顯式的授權。

權限策略管理

權限策略是一組權限的集合，它以一種策略語言形式來描述，每個權限策略描述特定資源的訪問權限。用戶（主賬戶）可以創建、更新、刪除和查看訪問策略。目前支持兩種類型的策略：預設策略 和 自定義策略。

• 預設策略
  預設策略是一組通用權限策略，比如當前主用戶名下所有云主機的只讀權限或所有權限。對于這組權限策略，用戶可直接使用，但不能編輯和修改。
• 自定義策略
  相較于預設策略，自定義策略的授權粒度比較細。自定義策略可通過兩種方式生成：引導創建、編輯策略語言。
• 引導創建
  方式生成的自定義策略是一組權限的集合，主用戶可通過圖形化界面選擇服務、功能、資源，打包生成策略，直接授權給子用戶。這種方式比較方便快捷，資源的權限已打包好。
• 編輯策略語言
  方式生成的自定義策略可以對應到每個資源的每項操作，這種方式比較靈活，用戶可根據實際需求DIY

創建自定義策略

在創建自定義策略時，您需要先了解權限策略語言的基本結構和語法，見權限策略語言

操作步驟：主賬戶登錄用戶控制臺，選擇 訪問控制?>?權限策略?>?自定義策略。在彈(dan)出(chu)窗(chuang)口填(tian)寫相關信息即可。可以點(dian)擊【樣例】來生成策略的基(ji)(ji)本格式(shi)內(nei)容(rong)，在此基(ji)(ji)礎上進行(xing)編輯。

查看自定義策略信息

操作步驟：主賬戶登錄用戶控制臺，選擇 訪問控制?> 權限策略?> 自定義策略?> 選擇某(mou)個策略，點擊策略名稱進(jin)入(ru)策略詳(xiang)情頁(ye)面。可(ke)對策略內容編(bian)輯、對關聯實體進(jin)行管理(li)。

修改自定義策略

操作步驟：主賬戶登錄用戶控制臺，選擇 訪問控制?>?權限策略?>?自定義策略?> 選擇某個策略，點擊操作列里的修改按鈕修改策略內容。

刪除自定義策略

主賬號可(ke)刪除自定義策略(lve)(lve)，可(ke)同時對多個策略(lve)(lve)進行操(cao)作。如果策略(lve)(lve)已被附加到實體(ti)（用戶或(huo)用戶組(zu)）時，該策略(lve)(lve)不可(ke)刪除，需先分(fen)離(li)該策略(lve)(lve)對應的實體(ti)。

附加權限策略

主賬戶可(ke)對自己名下(xia)的實體(ti)（子用戶或用戶組）附(fu)加權(quan)限策(ce)略（包括(kuo)預(yu)設策(ce)略和自定義策(ce)略），即給實體(ti)添加權(quan)限。

操作步驟：主賬戶登錄用戶控制臺，選擇 訪問控制?>?權限策略?>?自定義策略/預設策略?> 選擇某個策略，操作列點擊授權彈出授權窗口顯示主賬(zhang)戶(hu)下(xia)的實體(ti)（子(zi)用戶(hu)或用戶(hu)組），選擇并保存即(ji)可(ke)完成授權。

分離權限策略

主賬戶可對自己(ji)名下的實(shi)體（子用戶或用戶組）分離權限策(ce)略(lve)（包括預設策(ce)略(lve)和自定義策(ce)略(lve)），即刪(shan)除實(shi)體的某個權限。

操作步驟：主賬戶登錄用戶控制臺，選擇 訪問控制?>?權限策略?>?自定義策略/預設策略?> 選擇某個策略，點擊進入策略詳情頁，在授權對象模塊可以看到已經授權的實體，在相應實體操作列點擊取消授權即可。