统一身份认证（Identity and Access Management，简称IAM）服务，是提供给用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。

默认情况下，天翼云主账号拥有所有权限，而主账号创建的IAM子账号没有任何权限。IAM子账号需要授权相应策略，或加入用户组并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。

说明

如需要为子账号配置购买权限，还需要配置支付下单，弹性IP、弹性云主机等权限，具体策略请参见依赖策略说明。

云等保专区IAM策略说明

云等保专区提供如下系统策略：

策略名称	策略描述	类别	授权范围
云等保-管理员	拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。	系统策略	全局级
云等保-云安全中心	仅可查看、操作云等保专区-云安全中心菜单，包括v1.0，v2.0二级菜单；其他原子能力菜单不可见。	系统策略	全局级
云等保-主机安全	仅可查看、操作云等保专区-主机安全菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-Web应用防火墙	仅可查看、操作云等保专区-Web应用防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-下一代防火墙	仅可查看、操作云等保专区-下一代防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-堡垒机	仅可查看、操作云等保专区-堡垒机菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-漏洞扫描	仅可查看、操作云等保专区-漏洞扫描菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-数据库审计	仅可查看、操作云等保专区-数据库审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-日志审计	仅可查看、操作云等保专区-日志审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级
云等保-安全体检	仅可查看、操作云等保专区-安全体检菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。	系统策略	全局级

依赖策略说明

如需让子账号拥有在云等保专区下单、管理云主机、弹性网络等权限，还需配置如下策略：

策略名称	策略描述	授权范围	配置说明
CtyunBssAdmin	控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。	全局级	若子账号涉及开单、支付、订单管理等操作，需配置该策略。
ecs admin	控制天翼云云主机服务开通、管理权限。	资源池	若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。
vpc admin	控制天翼云弹性IP开通、新建、配置等管理权限。	资源池	若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

授权子账号使用云等保专区

使用主账号登录天翼云控制台，在右上角单击头像/用户名选择“账号中心”，在左侧导航中选择“统一身份认证”，或者直接点击IAM控制台。
用户可创建多个子账号，再根据自身需求，给对应子账号配置对应的控制台权限。
- 方式一：可直接给子账号（用户）配置策略来分配权限，详细操作请参见为子账号配置个人权限。
- 方式二：可通过给用户组配置策略，使得用户组内所有用户均有对应的权限，详细操作请参见为子账号所属用户组授权。
说明
子账号的个人权限与继承自用户组的权限取策略对应权限的并集。