参数 含义 值 Version 策略的版本。 1.0：代表基于角色的访问控制。 1.1：代表基于策略的访问控制。 Statement： 策略的授权语句 Effect：作用 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Statement： 策略的授权语句 Action：授权项 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号，通配符号表示所有。 示例： "obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 您可以在对应服务的API接口资料中查看该服务所有授权项。 Statement： 策略的授权语句 Condition：条件 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Statement： 策略的授权语句 Resource: 资源类型 策略所作用的资源。 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号，通配符号 表示所有。 示例： "obs: : :bucket: ": 表示所有的OBS桶。 "obs: : :object:mybucket/myobject/": 表示mybucket桶myobject目录下的所有对象。

给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“IAM ReadOnlyAccess”为例。 { "Version": "1.1", "Statement": [ { "Action": [ "iam::get", "iam::list", "iam::check" ], "Effect": "Allow" } ] }

本节主要介绍用户组添加/移除用户 企业管理员创建用户组、授权并将用户加入用户组，使IAM用户具备用户组的权限，实现用户的授权。在已授权的用户组中添加或者移除IAM用户，快速实现用户的权限变更。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”列表页面，单击待调整用户组右侧的“用户组管理”。 步骤 6 在“用户组管理”弹出框，针对待调整的IAM用户单击“添加”或“移除”，确认调整完毕后单击“确认”，完成用户组中用户的添加/移除。

本节主要介绍依赖角色的授权方法 由于云服务平台各服务之间存在业务交互关系，个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时，对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系，不需要进行依赖授权。 操作步骤 步骤 1 管理员登录IAM控制台。 步骤 2 在用户组列表中，单击新建用户组右侧的“授权”。 步骤 3 在授权页面进行授权时，管理员在权限列表的搜索框中搜索需要的角色。 步骤 4 选择角色，系统将自动勾选依赖角色。 步骤 5 单击勾选权限下方的，查看角色的依赖关系。 例如“DAS Administrator”，角色内容中存在“Depends”字段，表示存在依赖关系。给用户组授予“DAS Administrator”角色时，还需要在同项目同时授予“Tenant Guest”角色，“DAS Administrator”才能生效。 步骤 6 单击“确定”，完成依赖角色的授权。

策略自定义策略 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前IAM支持可视化视图、JSON视图两种自定义策略配置方式。

本章节主要介绍数据湖探索（DLI）的资源池部署情况。 目前已在：苏州、贵州、广州4、西安2、华北资源池开通，更多资源池规划部署中。 因用户权限不同，实际可选资源池请以控制台实际可见区域为准。

本章节主要介绍查看重分布详情。 查看重分布详情 在“重分布详情”页面可以查看到当前集群的重分布模式、重分布进度、数据表重分布详情等监控信息，可以对重分布进行暂停和恢复，重分布暂停状态可设置重分布优先级，修改重分布并发数等操作。 说明 查看重分布详情功能8.1.1.200及以上集群版本支持，其中数据表重分布进度详情仅8.2.1及以上集群版本支持。 注意 查看重分布详情功能只有集群处于重分布中、重分布失败或者重分布暂停状态下才能使用，其他时段该功能不可使用，且相关信息展示会有一定延迟。 操作步骤 1. 登录DWS 管理控制台。 2. 选择“集群 > 专属集群”。默认显示用户所有的集群列表。 3. 集群列表中，在指定集群所在行的“任务信息”列，单击“查看详情”。 4. 重分布中会显示重分布状态、重分布配置、重分布整体进度以及指定数据库下所有数据库表的重分布详情。用户在查看数据表重分布详情时， 必须指定一个数据库 ，且支持按照表的重分布状态和表名作为条件的搜索，由于重分布机制的原因，若某数据库下所有表完成重分布，页面将不会在查询到详细信息。 5. 重分布暂停状态下，可设置重分布优先级（schema或表维度），设置了排序优先级后，会按照设置的重分布顺序依次进行重分布。用户也可在重分布开始前设置重分布优先级。 6. 重分布过程中可动态调整重分布并发数。 说明 8.1.0及以下集群版本不支持动态调整，需先暂停重分布。 7. 重分布完成后会显示重分布进度（完成数据量、剩余数据量、完成表数量、剩余表数量、重分布过程中的平均速率）。

本文为您介绍如何通过授权管理页面查看现有的IAM授权。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“授权管理”，进入授权管理页面。 说明 授权管理列表展示目前在资源池和全局上存在的IAM授权，企业项目的授权请在对应企业项目下确认。 3. 授权管理列表包含策略、策略描述、授权范围、资源池、授权主体类型、授权主体、主体描述等当前账号已经配置的全部授权信息。支持输入策略名、策略描述、用户组名、授权范围的关键字进行搜索。

本文为您介绍如何创建用户组。 约束与限制 在创建用户组前，建议管理员提前了解并规划以下内容： 1. 了解权限的基本概念及分类。 2. 所有使用IAM授权的云服务的系统策略，请参考系统策略。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户组”，在用户组管理页面点击“创建用户组”。 3. 在弹出的对话框中，输入用户组名称和描述内容，点击“确定”完成创建。 注意 1. 您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可在天翼云网门户提交工单，申请扩大配额。 2. 同一个账号下，用户组的名称不能重复。

本文为您介绍如何修改用户组的相关信息。 约束与限制 同一个账号下，用户组的名称不能重复。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户组”，点击用户组名称后的“编辑”按钮，进入修改页面。 3. 在弹出的对话框中，可编辑修改用户组名称和描述内容，修改完成后点击确定。

本文为您介绍如何停用/启用企业项目。 停用企业项目 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 对于企业项目列表上“已启用”状态的企业项目，您可以点击“停用”进行企业项目的停用。停用后企业项目不可见，且不能迁移资源。点击停用后，在弹出的二次确认框中点击确定即可完成停用。 注意 停用后该企业项目在云服务中将不可见，无法迁入资源和添加用户组，且资源仍然继续计费，如需再次使用，请重新启用该企业项目。 系统默认的“default”企业项目不可修改、停用。 启用企业项目 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 对于企业项目列表上“已停用”状态的企业项目，您可以通过点击“启用”进行启用。点击启用后，在弹出的二次确认框中点击确定即可完成启用。 注意 启用后该企业项目在云服务中将变为可见，可迁入资源和添加用户组。

本文为您介绍如何进行企业项目资源的迁出和迁入。 企业项目资源迁出 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目”，点击企业项目名称右侧的“查看资源”。 3. 在企业项目的资源列表页面，勾选要迁出的资源，点击“迁出”。 4. 在弹出的迁出资源对话框中，选中这些资源要迁出到的目标企业项目，点击确定后完成迁出操作。 注意 如果当前资源与其他资源间存在绑定关系，迁移此资源，可能影响部分子用户下相关资源无法查看。 企业项目资源迁入 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目”，点击企业项目名称右侧的“查看资源”。 3. 在企业项目资源列表点击“迁入”，在弹出的迁入资源对话框中选择要迁入的企业项目。 4. 选择企业项目，并在企业项目的资源中勾选要迁入的资源，点击确定后完成迁入操作。 注意 如果当前资源与其他资源间存在绑定关系，迁移此资源，可能影响部分子用户下相关资源无法查看。

本文为您介绍如何进行委托授权。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“委托”，点击委托列表操作栏的“授权”按钮。 3. 勾选要授权的策略，点击“下一步”。 4. 勾选资源池授权范围，点击“确定”，完成授权。若上一步选择的策略为全局策略，授权范围将默认勾选全局范围，您可以直接点击“确定”完成授权。 说明 1. 选择策略时 , 只能选择“资源池” 或 “全局级” 中的其中一种授权范围。 2. 委托不支持基于企业项目进行授权。

本文为您提供一个以AD FS与天翼云进行用户SSO的示例,以在Windows Server 2012 R2 ECS实例上搭建的AD FS为例进行介绍。 在IAM中将AD FS配置为可信SAML IdP 1. 下载AD FS的元数据XML文件。 2. 在IAM控制台使用下载好的元数据文件完成配置。具体步骤请参考用户SSO概览中的配置步骤天翼云配置。 说明 如果元数据文件超过大小限制，可以删除fed:ClaimTypesRequested 和fed:ClaimTypesOffered中的所有内容。 在AD FS中将天翼云配置为信任方和配置映射关系 1. 在管理工具AD FS管理中，点击信任关系，右键点击信赖方信任，点击添加信赖方信任。 2. 选择“导入有关在线或本地网络上发布的信赖方的数据”。填写链接如下： 3. 其他信赖方选项按照默认配置，点击下一步直到完成。点击编辑声明规则。在颁发转换规则中，点击添加规则。 4. 配置名称 ID声明。勾选使用转换传入声明,传出声明选择名称ID，传入声明选UPN。 5. 配置身份提供商Id声明。勾选以声明方式发送组成员身份，传出声明为idpId,传出声明值在身份提供商配置查看。 6. 配置AD用户与天翼云IAM用户的映射关系。在进行IAM用户映射登录时，支持以下两种方式配置AD用户与天翼云IAM用户的映射关系。建议以邮箱匹配（b）的方式完成用户映射。 注意 如果两种配置都进行了配置，会以a方式中所示的userId优先进行匹配。因此如果需要使用b方式中按照邮箱匹配的方案，请先删除配置的对userId的映射。 7. 配置天翼云IAM用户的映射，您可以从以下两种方式中选择一种完成映射。 1. 配置天翼云IAM用户的userId完成映射。这一方式采用天翼云IAM用户的userId和AD用户进行映射配置，具体操作如下：在编辑声明规则中，勾选以声明方式发送组成员身份，传出声明为userId，传出声明值为天翼云用户ID。 注意 这条映射代表将指定用户组下的成员，都映射为天翼云中的一个IAM用户。如果需要进行多条映射，需要设置多条同类规则，例如：AD FS用户组A映射为IAM用户a，AD FS用户组B映射为IAM用户b。 3. 配置天翼云IAM用户的邮箱以完成映射（推荐）。这一方式采用天翼云IAM用户的邮箱与AD用户进行映射配置，具体操作如下：在编辑声明规则中，选择转换传入声明，在传入声明类型中，勾选UPN；在传出声明类型中，输入email。如果UPN能够与天翼云用户的邮箱匹配，请勾选传递所有声明值，例如，AD用户登录的UPN为testUser@cty.cn，则需要新建一个天翼云IAM子用户，邮箱为testUser@cty.cn，以此类推为不同的AD用户完成匹配。 注意 如果天翼云用户邮箱后缀和AD用户的UPN不同，可以选择将传入电子邮件后缀替换为新电子邮件后缀，并填写电子邮件后缀，例如AD用户testUser@cty.cn，配置将传入电子邮件后缀替换为新电子邮件后缀，填写新后缀为aduser.cn，则可以匹配到天翼云IAM子用户testUser@aduser.cn。 8. 配置账户Id声明。勾选使用转换传入声明,传出声明为accountId,配置规则如下，传入账户的唯一标识，可以UPN、email、IDP侧用户ID、主SID。 9. 配置UPN转换规则，传入声明为UPN，传出声明固定输入nickName。

本文为您介绍如何进行企业项目资源管理。 前提条件 您已开通具有企业项目属性的资源，如虚拟私有云、子网等，如果一个资源不具有企业项目属性，在企业项目下将无法看到资源。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目”。 3. 点击企业项目列表中，企业项目右侧操作栏的“查看资源”按钮，进入查看企业项目资源页面。 4. 通过选择所属资源池、产品类型，或输入资源名称、资源ID的关键字，可进行资源检索。

本文为您介绍如何通过授权管理页面完成授权的删除 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“授权管理”，点击授权后的“删除”按钮删除这一条授权。 3. 在弹出的对话框中，点击“确认”即可删除成功。 注意 删除该项授权后，授权主体将不再拥有该权限。删除的授权，若主体类型为用户组时，删除后会影响所属用户组下的所有用户，请谨慎操作。

通过安全设置,可对主账号安全信息进行管理。 操作步骤 具体操作详见安全信息管理。

本文为您介绍如何修改身份提供商。 操作步骤 1. 点击身份提供商管理列表中操作栏的“编辑”按钮。 2. 在弹出的修改身份提供商对话框中，可编辑描述信息、重新上传元数据文档。

本文主要介绍如何创建身份提供商。 操作步骤 1. 点击身份提供商管理页面的“创建身份提供商”按钮。 2. 在创建身份提供商页面，选择协议、身份提供商类型，填写身份提供商名称、描述内容，上传元数据文档后，点击确定即可完成身份提供商的创建。 注意 同一个账户下，只能创建一个类型为IAM用户SSO的身份提供商。

本文为您介绍如何删除策略。 约束与限制 您只能对自定义策略进行删除，删除自定义策略前，请解除该策略在用户组、用户上的授权关系。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“策略管理”。 3. 点击策略管理列表操作栏的“删除”。 4. 在弹出的二次确认提示框中，点击“确认”即可删除成功。

JSON视图配置自定义策略 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击”下一步“。 4. 选择“JSON视图” 5. （可选）在“策略内容”区域，单击“从已有策略复制”，例如选择“ecs admin”作为模板。 说明 此处可以同时选择多个服务的策略，这些策略的作用范围必须一致，即都是全局级服务或者资源池级服务。如果需要同时设置全局服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 6. 修改模板中策略授权语句。您可以参考策略语法，完成策略JSON语句的编写。 作用（Effect）：允许（Allow）和拒绝（Deny）。 权限集（Action）：写入各服务API授权项列表中“授权项”中的内容，例如："ecs:cloudServers:start"，来实现细粒度授权。 说明 自定义策略版本号（Version）固定为1.1，不可修改。 7. 单击“确定”后，系统会自动校验语法，如跳转到策略列表，则自定义策略创建成功；如提示“策略内容错误”、“JSON格式有误”，请按照策略JSON语法规范进行修改。

本文为您介绍如何管理用户组。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户组”，点击用户组名称后的“用户组管理”。 3. 在弹出的用户组管理对话框中，在用户名称列表点击“添加”和“移除”，即可在用户组中添加或移除用户。 4. 点击确定完成用户组内用户的管理操作。 说明 1. 主用户不允许被添加进任何用户组，因此不在此处展示。 2. 系统缺省提供的用户组“admin”，只能管理该用户组下的用户，不能修改描述信息与权限。

本文为您介绍如何在IAM控制台重置密码。 操作步骤 说明 若子用户使用的手机号或邮箱可以接收验证码，子用户也可以在登录天翼云时点击“忘记密码”进行子用户自身的密码重置。 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户”，在用户名对应的操作选项中点击“重置密码”。 3. 在弹出的对话框中，输入手机验证码、新密码，点击“确定”完成子用户的密码重置。

本文为您介绍如何创建IAM子用户。 如果您是管理员，在天翼云购买了多种资源，并且您需要将资源分配给企业中不同的员工或者应用程序使用，为了避免分享自己的帐号密码，您可以使用IAM的用户管理功能，给员工或应用程序创建子用户。 新创建的子用户默认需要加入到一个用户组中，如果该用户组不具有权限，管理员可以为其授权，或是给该用户归属的用户组授权。用户组中的每个子用户都会继承用户组的权限。子用户拥有权限后，可以基于权限对云服务进行操作。 “admin”为缺省用户组，具有包括“统一身份认证”在内所有云服务的IAM操作权限。将用户加入该用户组后，用户可以操作并使用所有云服务资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 约束与限制 1. 子用户可以选择登录名或邮箱作为登录标识，因此您需要至少填写其中一项。子用户的登录名或邮箱有全局唯一的约束。 2. 在为子用户创建登录名前，如果还未创建账号别名，请您先创建账号别名。 3. 如果子用户仅创建了登录名，未创建邮箱，系统会为该子用户配置一个虚拟邮箱。 4. 同一个账号下的子用户手机号不可重复。同一个手机号可以最多给五个不同账号下的子用户进行绑定。 操作步骤 1. 管理员登录IAM控制台。 2. 在左侧导航窗格中，选择“用户”。点击右上角的“创建用户”。 3. 在“配置用户基本信息”页面中填写用户信息。如需一次创建多个用户，您可以点击“添加用户”进行批量创建，每次可以最多创建20个用户。 4. （可选）您也可以点击“上传用户”，通过上传填写好的模板进行批量用户配置。 5. （可选）点击“下一步”，点击“可选用户组”下的“添加”按钮，将用户组加入“已选用户组”列表。当前创建的子用户将继承已选用户组的权限。如果没有合适的可选用户组，可以点击“创建用户组”进行用户组创建。 6. 点击”下一步”，创建用户成功。

本文为您介绍IAM的使用限制。 目前，天翼云IAM中的用户数、用户组数等有配额限制， 其中“是否支持修改”列标示“是”的，表示该限制项可以修改。如果当前资源配额无法满足业务需要，您可在天翼云网门户提交工单，申请扩大配额。 限制项 限制值 是否支持修改 IAM用户组 50 是 用户组数 20 是 一个用户组中可添加的用户数 账号下的IAM用户数 否 委托数 50 是 用户可加入的用户组数 20 否 用户可创建的访问密钥（AK/SK）数 2 否 用户名的字符数 32 否 用户组名的字符数 64 否 子用户登录名字符数 128 否 IAM账号别名（后缀名） 63 否 子用户登录前缀名 128IAM账号别名 否 策略名称的字符数 64 否

本文为您介绍IAM的产品定义。 什么是IAM？ 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理和授权认证的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 产品优势 IAM可为您提供身份认证、权限管理和用户授权等统一身份认证服务。 精细的权限管理 您可以通过IAM控制不同用户具备不同的权限。例如：控制某些用户可以配置弹性云主机参数，而让另外一些用户只能读取弹性云主机参数。 便捷的用户授权 使用IAM完成用户授权仅需要两步： 1. 按照用户职责规划用户组，并将对应职责的权限授予用户组。 2. 将用户加入已授权的用户组。 为其他服务提供认证和鉴权功能 使用IAM认证后的用户可以根据权限使用天翼云中的其他服务，如关系型数据库、云主机、对象存储等。 委托第三方账号或者云服务管理资源 通过委托信任机制，天翼云用户可以将自己的操作权限委托给其它天翼云账号或者云服务，该账号或者云服务可以代替用户进行资源的运维和管理工作。

本文将为您介绍查看标签绑定资源的操作流程。 有三种途径可实现基于标签查找资源，您可根据实际场景按需选择。 基于标签控制台查看标签已绑定资源 适用于账号管理者，可查看账号下的某一具体标签绑定的所有不同类型的云资源。 1、登录标签管理控制台。 2、进入标签详情页：标签键详情页可查看标签键下所有标签值绑定的云资源，标签键值详情页可查看标签值所绑定的云资源。 基于资源管理控制台查看标签已绑定资源 适用于账号管理者，可查看账号下不同标签绑定的所有不同类型的云资源。 1、登录资源管理控制台。 2、资源列表上方的标签筛选入口，选择需要筛选的标签键值数据。 基于云服务控制台查看标签已绑定资源 适用于某一类型资源管理者，可查看登录账号下标签绑定的某一类云资源。以CTECS为例说明： 1、登录CTECS控制台。 2、资源清单列表上方的筛选标签入口，选择需要筛选的标签键值数据。

本文将为您介绍基于标签实现资源分类管理的实现流程。 创建标签 在开通资源前，按照业务规则提前完成标签的创建。 1、登录标签管理控制台。 2、点击创建标签。 资源绑定标签 在创建资源时绑定标签。以CTECS为例说明： 1、登录CTECS控制台。 2、进入创建云主机页面，将“是否编辑标签”打开，绑定标签时选择已经创建好的标签。 基于标签查找资源 1、登录标签管理控制台。 2、进入标签详情页，查看已绑定的资源清单。

本文将为您介绍创建标签的实际操作流程。 创建标签支持页面编辑标签键值，或者通过文件批量上传。 约束与限制 1、标签键值字符长度限制最长128位。 2、标签键值字符首尾不能含空格。 3、页面创建标签单次最多可创建10个标签，单个标签键单次最多可添加10个标签值。 4、导入标签单次最多可导入100个，超过部分不做导入。 5、导入标签仅支持csv和excel文件，单个文件不超过100KB。 6、导入文件的表头需要与模版的一致，不能删除或替换。 7、若标签键或标签值数据中已存在，则不做替换。 操作步骤 页面创建标签 1、登录标签管理控制台。 2、点击“创建标签”。 3、输入标签键值。 4、点击“创建”完成创建。 导入标签 1、登录标签管理控制台。 2、点击“导入标签”。 3、下载模版并按照要求编辑好文件后点击“文件上传”。 4、检查导入标签数据，确认无误后点“导入”完成标签创建。

本文将为您介绍云服务资源绑定标签的流程。 创建标签 1、登录标签管理控制台。 2、点击创建标签。 3、输入标签键值。 注意 1、标签键值字符长度限制最长128位。 2、标签键值字符首尾不能含空格。 3、页面创建标签单次最多可创建10个标签，单个标签键单次最多可添加10个标签值。 4、若输入的标签键或标签值数据中已存在，则不做替换。 标签控制台绑定标签 1、点击操作栏的绑定资源。 2、选择目标资源。 注意 1、一个云资源实例只能绑定同一标签键下的一个标签值，若选择的云资源已经绑定了同一个标签键下的其它标签值，本次绑定将替换原有的标签键值。 2、可绑定的资源清单为账号下已开通的资源。 云服务控制台绑定标签 云服务控制台可以对新创建的资源做标签绑定。以CTECS为例说明： 1、登录CTECS控制台。 2、进入创建云主机页面，将“是否编辑标签”打开即可对资源做标签绑定。 说明 1、可选择已创建的标签绑定到目标资源，也可以输入新的标签键值绑定到目标资源。

本文将为您介绍解绑标签的操作流程。 有三种途径可实现资源的解绑，您可根据实际场景按需选择。 基于标签控制台为云资源解绑标签 适用于为不同云资源批量解绑同一个标签的场景。 1、登录标签管理控制台。 2、进入标签键值详情页，选择要解绑的资源后，点击“解绑资源”。 基于资源管理控制台为云资源解绑标签 适用于为不同云资源解绑不同标签的场景。 1、登录资源管理控制台。 2、找到目标资源，点击标签中的“编辑”。 3、进入编辑页后，删除需要解绑的标签键值对，点击“确定”。 基于云服务控制台为云资源解绑标签 适用于为某一类云资源解绑不同标签的场景。以CTECS为例说明： 1、登录CTECS控制台。 2、在资源清单列表，点击操作栏的“编辑标签”。 3、进入编辑页后，删除需要解绑的标签键值对，点击“确定”。

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }