本文为您介绍IAM的计费及开通。 计费 统一身份认证IAM服务目前免费。 开通 目前统一身份认证IAM服务针对个人账号及企业账号默认开通。

本文为您介绍如何进行用户授权操作。 操作步骤 1. 管理员登录 IAM控制台。 2. 点击左侧导航窗格的“用户”，点击用户名称后的“查看”，进入详情页面。 3. 点击详情页中的“权限管理”，选择“新增权限”。 4. 勾选想要授权的策略名称后，点击“下一步”勾选授权范围后，点击“确定”，授权成功。 注意 每次授权时，只允许选择授权范围为“资源池” 或 “全局级” 中的其中一种。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

ctiam admin策略内容 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "ctiam::" ], "Effect": "Allow" } ] } ctiam viewer 策略内容 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "ctiam::get", "ctiam::get", "ctiam::list", "ctiam::list" ], "Effect": "Allow" } ] }

自定义策略 如果系统策略无法满足授权要求，管理员可以根据各服务支持的权限，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。您可以通过可视化和JSON视图完成自定义策略的配置。 委托 委托根据委托对象的不同，分为委托其他天翼云帐号和委托其他云服务。 委托其他天翼云帐号：通过委托功能，您可以将自己帐号中的资源操作权限委托给其他天翼云帐号，被委托的帐号可以根据权限代替您进行资源运维和管理工作。 委托其他云服务：由于天翼云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，在使用时会需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维的自动化工作。 身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问天翼云时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码 常见的身份凭证，密码可以用来登录控制台。您不能在IAM中管理自己账号的密码，请在天翼云网门户“个人中心”修改自己的密码。

本文将为您介绍标签管理的计费。 标签管理目前为免费服务。

本文将为您介绍基于标签做成本分析实现流程。 前提条件 需要计入成本的资源均已按照业务需求正确绑定了标签。 基于标签成本分析操作流程 1、登录费用中心成本管理成本分析。 2、分析维度选择标签，默认按照标签数据中的第一个标签键返回成本数据，可按需切换需要分析的标签键。

本文将问您介绍删除标签的操作流程。 删除标签只能通过标签控制台进行操作。删除后，绑定了该标签的资源会自动删除本条标签数据。 操作步骤 1、登录标签管理控制台。 2、点击操作栏的“删除”后弹窗确认即可。

本文将为您介绍绑定标签的操作流程。 有三种途径可实现云资源绑定标签，您可根据实际场景按需选择。 约束与限制 一个云资源实例只能绑定同一标签键下的一个标签值。 基于标签控制台为云资源绑定标签 适用于批量为已创建的存量资源做标签绑定场景。 1、登录标签管理控制台。 2、基于标签绑定资源：找到目标标签键值，点击“绑定资源”。 3、或进入标签键值的详情页，点击绑定资源。 基于资源管理控制台为云资源绑定标签 适用于为已创建的单个存量资源做标签绑定场景。 1、登录资源管理控制台。 2、找到目标资源，点击标签中的“编辑”。 基于云服务控制台为云资源绑定标签 适用于为新创建的资源做标签绑定场景。以CTECS为例说明： 1、登录CTECS控制台。 2、进入创建云主机页面，将“是否编辑标签”打开即可对资源做标签绑定。 3、或在创建完资源后，在资源清单列表，点击操作栏的“编辑标签”完成标签绑定。

本文将为您介绍标签管理的常见问题。 在标签控制台和云服务控制台创建的标签有什么不一样？ 从应用层面来讲是一样的，在标签控制台创建的标签和云服务控制台创建的标签在当前账号下是全局通用的。但如果想要标准化管理账号下的标签数据，推荐先用标签控制台完成标签的创建，具体可参考创建标签流程。 同一个云资源实例最多可绑定多少个标签？ 默认是50个标签。 若想修改标签键值的内容，怎么操作？ 在标签管理控制台编辑标签键值。 若企业客户有多个子账号，主账号创建的标签，子账号是否可以使用？ 标签暂不支持跨账号使用。

本文将为您介绍标签管理的产品功能。 创建标签 按照业务管理需求，通过标签控制台完成标签创建，支持页面创建及文件导入两种方式。 绑定云资源 您可以为某个具体的标签键值对，批量绑定已创建出来的存量云资源。 查找云资源 若需要查找某个标签键值对的云资源清单，您可以找到标签键值对过后，进入详情页查看已绑定的云资源清单。

本小节主要介绍云堡垒机的续费与退订。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续费 登录天翼云官网，进入管理中心，选择“订单管理 > 续订管理”，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。

步骤二：变更云主机规格 变更资产规格完成后，还需要再变更搭载堡垒机的云主机规格。 云主机对应规格详情请见云堡垒机（原生版）计费模式。 云主机升配规格请参见弹性云主机变更规格。

前提条件 已获取管理控制台的登录账号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 4. 在弹出的退订提示框中，确认实例信息无误后，单击“确认”，进入“费用中心 > 退订管理 > 退订申请”页面。 5. 在退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 到期与欠费 包周期资源开通成功后，如果没有按时续费，云平台会提供一定的保留期。 保留期：指宽限期到期后客户的包年/包月资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。 云服务进入保留期后，天翼云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 欠费后，可以查看欠费详情。为防止相关资源被停止或者释放，请及时进行充值，账号将进入欠费状态，需要在约定时间内支付欠款。

版本 资产规格 并发数 标准资费（元/个/月） CPU 内存 系统盘 数据盘 高级版 10资产 10并发上线 860 2核 8GB 40GB 300GB 高级版 20资产 20并发上限 999 2核 8GB 50GB 300GB 高级版 50资产 50并发上限 1888 4核 16GB 50GB 500GB 高级版 100资产 100并发上限 2999 8核 32GB 50GB 800GB 高级版 200资产 200并发上限 4350 8核 32GB 50GB 800GB 高级版 500资产 500并发上限 6230 12核 48GB 50GB 2048GB 高级版 1000资产 1000并发上限 11100 16核 64GB 50GB 2048GB 高级版 2000资产 2000并发上限 14000 16核 128GB 50GB 2048GB 高级版 5000资产 2000并发上限 20000 24核 192GB 50GB 4096GB 高级版 10000资产 2000并发上限 29550 32核 192GB 50GB 4096GB

资产规格 并发数 标准版资费单机版（元/个/月） 企业版资费单机版（元/个/月） 主机规格 10资产 10并发上限 650 1020 CPU：2核，内存：4GB，系统盘：40GB，数据盘：300GB 20资产 20并发上限 850 1280 CPU：2核，内存：8GB，系统盘：50GB，数据盘：300GB 50资产 50并发上限 1520 2600 CPU：4核，内存：16GB，系统盘：50GB，数据盘：500GB 100资产 100并发上限 2520 4600 CPU：8核，内存：32GB，系统盘：50GB，数据盘：800GB 200资产 200并发上限 3520 6200 CPU：8核，内存：32GB，系统盘：50GB，数据盘：800GB 500资产 500并发上限 5280 9200 CPU：12核，内存：48GB，系统盘：50GB，数据盘：2TB 1000资产 1000并发上限 10780 14170 CPU：16核，内存：64GB，系统盘：50GB，数据盘：2TB 2000资产 2000并发上限 13780 17170 CPU：16核，内存：128GB，系统盘：50GB，数据盘：2TB 5000资产 2000并发上限 18000 27000 CPU：24核，内存：192GB，系统盘：50GB，数据盘：4TB 10000资产 2000并发上限 24000 36000 CPU：32核，内存：192GB，系统盘：50GB，数据盘：4TB

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 当前仅支持同版本、同实例规格内变更资产规格，不支持跨版本变更或跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

本文将为您介绍标签管理的应用场景。 使用标签查找资源 场景说明 当账号下管理的云资源变多，想要快速的找到某一类型的云资源，可通过标签实现某一类型云资源的快速查找。 场景示意图 产品优势 基于标签进行云资源的查找，帮助提升云资源管理效率。 使用标签做成本分析 场景说明 若客户想要以自身实际的业务场景做云资源的成本分析，可通过提前定义标签并为资源绑定标签后，在费用中心成本管理成本分析选择标签维度做成本分析的可视化展示。 场景示意图 产品优势 客户可基于本身的业务诉求，通过标签管理的方式自定义成本分析维度。

本节主要介绍创建IAM用户并登录 步骤1已完成用户组的创建并完成了授权，本节将描述A公司使用已注册的天翼云帐号，给公司成员创建IAM用户并加入用户组的操作，使得他们拥有独立的用户和密码，可以独立登录天翼云并管理权限范围内的资源。 创建IAM用户 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择步骤1中已创建好的用户组“开发人员组”，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户Charlie、Jackson和Emily，并加入对应的用户组。 IAM用户登录 通过前述步骤，A公司已在其天翼云帐号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后，A公司管理员需要将帐号名、IAM用户名及初始密码告知对应的员工，这些员工就可以使用自己的用户名及密码访问天翼云及各云服务平台。 如果IAM用户登录失败或忘记密码，IAM用户可以联系A公司管理员重置密码。 步骤 1 A公司IAM用户打开天翼云官网。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。

本节主要介绍切换角色（被委托方操作） 当其他帐号与您创建了委托关系，即您是被委托方，您以及分配了委托权限的用户，可以切换角色至委托方帐号中，根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 步骤 1 使用被委托方账号或已分配委托权限的IAM用户登录天翼云，单击页面顶部“控制台”。 说明 只有被委托的账号及该账号下被分配委托权限的IAM用户具有管理委托的权限，可以切换角色。 步骤 2 单击右上方已登录的账号，在下拉菜单中选择“切换角色”。 步骤 3 在“切换角色”页面中，输入委托方的账号、委托名称。 说明 输入账号名称后，系统将会按照顺序自动匹配委托名称，如果自动匹配的是没有授权的委托，系统将提示您没有权限访问，您可以删除委托名称，在下拉框中选择已授权的委托名称。 步骤 4 单击“确定”，切换至委托方账号中。 后续操作 单击右上角切换的委托账号，选择“切换角色”，可以返回到被委托方的账号。

同时设置了IAM和企业项目管理授权时的检查规则 用户在发起访问请求时，系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下： 1. 用户发起访问请求。 2. 系统在用户被授予的访问权限中，优先寻找基于IAM项目授权的权限，在权限中寻找请求对应的action。 3. 如果找到匹配的Allow或者Deny的action，系统将返回对请求的鉴权决定，Allow或者Deny，鉴权结束。 4. 如果在基于IAM项目的权限中没有找到请求对应的action，系统将继续寻找基于企业项目授权的权限，在权限中寻找请求对应的action。 5. 如果找到匹配的Allow或者Deny的action，系统将返回对请求的鉴权决定，Allow或者Deny，鉴权结束。 6. 如果用户不具备任何权限，系统将返回鉴权决定Deny，鉴权结束。

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

本节主要介绍创建用户组并授权 管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 创建用户组 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见移除用户组权限。 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“用户组”，单击待添加授权用户组右侧的 “授权”。 步骤 4 用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 步骤 5 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，下表为IAM提供的所有授权范围方案。 表 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 步骤 6 单击“确定”，完成用户组授权。

本节主要介绍查看授权记录 如果您需要查看当前帐号下的所有授权关系，可以进入“权限管理 > 授权管理”页面。IAM权限管理为您呈现帐号中的所有授权关系，支持使用 “策略名” 、 “用户名/用户组名/委托名”、“项目区域” 、 “企业项目（已开启企业项目）”“主体类型” 为过滤条件查看指定授权关系。 如果您已开通并使用企业项目，可以选择IAM项目视图、企业项目视图，分别查看IAM项目、企业项目的授权关系。 如果您暂未开通企业项目，将自动显示IAM项目视图。 IAM项目视图 在IAM项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名 ：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。 用户名/用户组名/委托名 ：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组/委托的IAM项目授权记录，选择过滤条件为“用户名”、“用户组名”或“委托名”，输入指定对应名称，查看其授权记录 说明 基于IAM项目授权，最小授权单位为用户组。查看IAM项目视图下指定IAM用户授权记录时，将显示该IAM用户所属用户组的授权记录。 项目区域 ：IAM项目或区域名称，即权限的作用范围。查看IAM项目授权情况，请选择： 全局服务：查看所有全局服务授权记录。 所有项目：查看基于所有项目授权的授权记录。基于“所有项目”授权，权限对所有项目都生效，包括全局服务和所有项目（包括未来创建的项目）。 指定项目：查看基于默认区域、子项目授权的授权记录。 主体类型 ：授权对象类型，可以选择用户、用户组、委托3种。IAM项目视图下，可以选择主体类型为“用户组”、“委托”，如果选择“用户”，筛选结果为空。 企业项目 ：企业项目的名称。如果您在IAM用户视图下，选择“企业项目”为过滤条件，并输入企业项目名称，将自动切换至企业项目视图。

本节主要介绍策略鉴权 用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下： 图 系统鉴权逻辑图 1. 用户发起访问请求。 2. 系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 3. 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 4. 如果找不到Allow指令，最终决定为Deny，鉴权结束。

查看IAM的云审计日志 开通云审计服务后，云审计服务开始记录操作事件，包括IAM以及其他服务的操作事件，云审计服务保存最近7天的操作记录。 操作步骤 步骤 1 管理员在IAM控制台进行操作，例如登录控制台或创建IAM用户。 步骤 2 进入云审计服务控制台，查看IAM的操作记录。 步骤 3 单击，可以查看事件的基本信息。 步骤 4 单击“查看事件”，可以查看事件的结构。

本节主要介绍分配委托权限（被委托方操作） 当其他帐号与您创建了委托关系，即您是被委托方，默认情况下只有较大权限的用户（帐号本身以及admin用户组中的成员）可以管理委托资源，如果您需要普通IAM用户帮助您管理委托，可以将管理委托的权限分配给IAM子用户。 如果您有多个委托关系，可以授予IAM用户较大的委托权限，即管理所有的委托，也可以授予IAM用户精细的权限，仅管理指定的委托，即IAM用户进行角色切换时，仅能切换到被授权的委托中，不能切换其他委托，您可以创建细粒度的委托权限，授权IAM用户管理指定的委托。 前提条件 已有天翼云账号与您创建了委托关系。 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。 操作步骤 步骤 1 创建用户组并授权。 1. 被委托方使用天翼云帐号登录天翼云官网。 2. 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 3. 在统一身份认证服务左侧导航窗格中，单击“用户组”。 4. 在“用户组”界面中，单击“创建用户组”，在跳转页面中再次单击“创建用户组”。 5. 在弹出框中输入“用户组名称”、“描述”。 6. 单击“确定”，返回统一身份认证服务的用户组列表页面，用户组列表中显示新创建的用户组。 7. 单击新建用户组右侧的“授权”。 8. 创建自定义策略。 说明 如果需要授予IAM用户精细的委托权限，仅管理指定的委托，请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权，授予IAM用户管理所有的委托权限，请跳过该步骤，直接执行下一步骤。 a. 在选择策略页面，单击权限列表右上角“新建策略”。 b. 输入“策略名称”。 c. “策略配置方式”选择“JSON视图”。 d. 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:tokens:assume" ], "Resource": { "uri": [ "/iam/agencies/agencyTest" ] }, "Effect": "Allow" } ] } 说明 "agencyTest"需要替换为待授权委托的Name，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 本文简要讲述快速完成委托细粒度授权的必要操作，更多权限内容，详情请参考“权限管理”章节。 e. 单击“下一步”，继续完成授权。 9.选择上一步创建的自定义策略或者“Agent Operator”权限，单击“下一步”。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 10.选择授权范围方案。 11.单击“确定”，用户组授权完成。 步骤 2 创建IAM用户并加入用户组。 1. 在统一身份认证服务左侧导航菜单中，单击“用户” 2. 在“用户”界面，单击“创建用户”。在跳转页面中再次单击“创建子用户”。 3. 在弹出的“创建子用户”对话框，输入“邮箱”、“用户名”、“手机号”等用户基本信息。 4. 在“所属用户组”的下拉框中，选择步骤1中创建的用户组。 5. 单击“创建”，完成IAM子用户创建。 说明 分配委托权限操作完成，新创建的IAM用户可以通过切换角色至委托方帐号中，帮助您管理委托资源。

本节主要介绍委托其他云服务管理资源 由于云服务平台各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。 当前IAM提供两种创建委托方式： 1. 在IAM控制台创建云服务委托 1. 以对象存储服务OBS为例：将操作权限委托给OBS，允许OBS以您的身份使用其他服务，例如访问AOM读取监控数据。 2. 在云服务控制台使用某项资源时，系统提示您自动创建委托，以完成云服务间的协同工作。 1. 以创建弹性文件服务SFS委托为例： 1. 在SFS控制台创建文件系统。 2. 在创建文件系统页面，开启“静态数据加密”。、 3. 弹窗提示需要创建SFS委托，单击“确定”，系统自动为您在当前项目创建SFS委托，并授予KMS CMKFullAccess权限，授权成功后，SFS可以获取KMS密钥用来加解密文件系统。 4. 您可以在IAM控制台的委托列表中查看已创建的委托。 在IAM控制台创建云服务委托 步骤 1 登录统一身份认证服务控制台。 步骤 2 在统一身份认证服务的左侧导航菜单中，单击“委托”。 步骤 3 在委托列表页面，单击右上角“＋创建委托”。 步骤 4 在创建委托页面，设置“委托名称”。 步骤 5 “委托类型”选择“云服务”，在“云服务”中选择需要授权的云服务。 步骤 6 选择“持续时间”。 步骤 7 （可选）填写“委托描述”。建议填写描述信息。 步骤 8 单击“下一步”，进入给委托授权页面。 步骤 9 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围，给委托授权。 步骤 10 单击“确定”，委托创建完成。

本节主要介绍删除或修改委托 修改委托 如果需要修改委托的权限、持续时间、描述等，可以在委托列表中，单击委托右侧的“修改”，修改委托。 说明 云服务委托支持修改云服务、持续时间、描述、权限，委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用，请谨慎操作。 删除委托 如果不再需要使用委托，可以在委托列表中，单击委托右侧的“删除”，删除委托。 批量删除委托 如果需要删除多个委托，可在委托列表中勾选需要删除的委托，然后单击列表上方的“删除”。 说明 删除委托后，将撤销被委托方帐号的权限，被委托方将无法管理您的委托资源，对您的其他业务合作伙伴没有影响。

本节主要介绍秘钥凭证类问题 如何获取访问密钥AK/SK 如果您有登录密码，可以登录控制台，在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”，单击“访问密钥”页签，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看秘密访问密钥（SK）。 如果您没有登录密码，不能登录控制台，在访问密钥异常丢失或者需要重置时，可以联系您的账号管理员在IAM中生成您的访问密钥，并发送给您。 丢失访问密钥AK/SK怎么办 如果您的访问密钥AK/SK已丢失，建议您先创建新的访问密钥AK/SK，并使用新的访问密钥AK/SK替换正在使用的应用程序等的访问秘钥AK/SK之后，确认无其他业务影响，再将丢失的访问密钥AK/SK停用或删除。 说明 每个用户最多可创建2个访问密钥，不支持增加配额。 如果您无法管理您的访问密钥，请联系您企业的账号管理员。 什么是临时安全凭证（临时AK/SK和SecurityToken） 什么是临时安全凭证 临时安全凭证是具备临时访问权限的身份凭证，包括临时AK/SK和SecurityToken，临时安全凭证与永久安全凭证的工作方式几乎相同，仅存在小量差异。 临时安全凭证与永久安全凭证的差异 临时安全凭证存在有效期，可以在15分钟至24小时之间进行设置；永久安全凭证的有效期为永久，并且不能进行设置。 临时安全凭证没有数量限制；每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口获取临时AK/SK获取；永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成，即时使用，不能嵌入应用程序中，或者进行存储，到期后无法重复使用，只能重新获取。

本节为您介绍如何修改和删除已创建的自定义策略。 修改自定义策略 修改自定义策略名称、描述和内容。 1. 管理员在IAM控制台左侧导航窗格中，选择“权限管理>权限”页签。 2. 在指定策略的操作列中单击“编辑”，或者单击需要修改的策略名称，进入策略详情页。 3. 可根据需要修改“策略名称”和“策略描述”。 4. 按可视化视图配置自定义策略方式修改策略。 5. 单击“确定”完成修改。 删除自定义策略 说明 如果当前自定义策略已被授权给用户组或委托，则无法删除。移除该用户组或委托中的自定义策略后，才可删除自定义策略。 1. 管理员在IAM控制台左侧导航窗格中，选择“权限管理>权限”。 2. 在指定策略的操作列中单击“删除”。 3. 单击“确定”完成删除。

参数名称 参数说明 条件键 条件键表示策略语句的Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作；服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南。 运算符 与条件键、条件值一起使用，构成完整的条件判断语句。 值 与条件键、运算符一起使用，当运算符需要某个关键字时，需要输入关键字的值，构成完整的条件判断语句。