身份提供商 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“委托”，点击委托管理页面的“创建委托”按钮。 3. 选择“身份提供商”，点击“下一步”。 4. 在配置委托页面，输入委托名称、备注信息、选择身份提供商，点击“完成”，委托创建成功。

本文为您介绍如何进行企业项目资源管理。 前提条件 您已开通具有企业项目属性的资源，如虚拟私有云、子网等，如果一个资源不具有企业项目属性，在企业项目下将无法看到资源。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目”。 3. 点击企业项目列表中，企业项目右侧操作栏的“查看资源”按钮，进入查看企业项目资源页面。 4. 通过选择所属资源池、产品类型，或输入资源名称、资源ID的关键字，可进行资源检索。

本文为您介绍如何通过授权管理页面完成授权的删除 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“授权管理”，点击授权后的“删除”按钮删除这一条授权。 3. 在弹出的对话框中，点击“确认”即可删除成功。 注意 删除该项授权后，授权主体将不再拥有该权限。删除的授权，若主体类型为用户组时，删除后会影响所属用户组下的所有用户，请谨慎操作。

通过安全设置,可对主账号安全信息进行管理。 操作步骤 具体操作详见安全信息管理。

本文为您介绍如何修改身份提供商。 操作步骤 1. 点击身份提供商管理列表中操作栏的“编辑”按钮。 2. 在弹出的修改身份提供商对话框中，可编辑描述信息、重新上传元数据文档。

本文主要介绍如何创建身份提供商。 操作步骤 1. 点击身份提供商管理页面的“创建身份提供商”按钮。 2. 在创建身份提供商页面，选择协议、身份提供商类型，填写身份提供商名称、描述内容，上传元数据文档后，点击确定即可完成身份提供商的创建。 注意 同一个账户下，只能创建一个类型为IAM用户SSO的身份提供商。

本文为您讲述子用户如何创建和下单一类节点资源。 步骤一：用户组授权CtyunBssAdmin策略，用于配置下单权限 1. 管理员登录IAM控制台。 2. 选择用户组并授权：点击左侧导航窗格的“用户组”，选择需要配置下单和支付权限的用户组，点击“授权”。 3. 选择策略：在“请输入策略名称进行搜索”输入框里输入【CtyunBssAdmin】，选中该策略，并点击“下一步”。 4. 设置最小授权范围：该策略默认授权范围为“全局级”，点击“确定”完成授权。 5. 完成：系统提示授权成功。 步骤二：企业项目添加对应产品的权限（以云主机为例） 除了订单权限外，您还需要配置对应产品的创建权限，以完成资源的创建与下单。 1. 查看用户组：点击左侧导航窗格的“企业项目”，在“default”企业项目的操作栏，点击“查看用户组。 2. 设置用户组：点击“设置用户组”，选择需要进行资源下单操作的子用户所属的用户组，点击“确定”完成设置。 3. 设置策略：在对应的用户组，点击“设置策略”，选择如下策略（以云主机为例）：ecs admin、vpc admin、evs admin，点击“确定”完成对该用户组的企业项目授权。 4. 登录子用户，测试创建一类节点的弹性云主机。 说明 上述步骤中以“default”企业项目演示了企业项目的授权操作，此时子用户开通云主机时将只能选择“default”企业项目。若您希望子用户可以在创建云主机时查看其他企业项目，请按照上述步骤，基于所需的企业项目完成授权。

本文为您介绍如何删除策略。 约束与限制 您只能对自定义策略进行删除，删除自定义策略前，请解除该策略在用户组、用户上的授权关系。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“策略管理”。 3. 点击策略管理列表操作栏的“删除”。 4. 在弹出的二次确认提示框中，点击“确认”即可删除成功。

JSON视图配置自定义策略 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击”下一步“。 4. 选择“JSON视图” 5. （可选）在“策略内容”区域，单击“从已有策略复制”，例如选择“ecs admin”作为模板。 说明 此处可以同时选择多个服务的策略，这些策略的作用范围必须一致，即都是全局级服务或者资源池级服务。如果需要同时设置全局服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 6. 修改模板中策略授权语句。您可以参考策略语法，完成策略JSON语句的编写。 作用（Effect）：允许（Allow）和拒绝（Deny）。 权限集（Action）：写入各服务API授权项列表中“授权项”中的内容，例如："ecs:cloudServers:start"，来实现细粒度授权。 说明 自定义策略版本号（Version）固定为1.1，不可修改。 7. 单击“确定”后，系统会自动校验语法，如跳转到策略列表，则自定义策略创建成功；如提示“策略内容错误”、“JSON格式有误”，请按照策略JSON语法规范进行修改。

本文为您介绍如何管理用户组。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户组”，点击用户组名称后的“用户组管理”。 3. 在弹出的用户组管理对话框中，在用户名称列表点击“添加”和“移除”，即可在用户组中添加或移除用户。 4. 点击确定完成用户组内用户的管理操作。 说明 1. 主用户不允许被添加进任何用户组，因此不在此处展示。 2. 系统缺省提供的用户组“admin”，只能管理该用户组下的用户，不能修改描述信息与权限。

本文为您介绍如何在IAM控制台重置密码。 操作步骤 说明 若子用户使用的手机号或邮箱可以接收验证码，子用户也可以在登录天翼云时点击“忘记密码”进行子用户自身的密码重置。 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户”，在用户名对应的操作选项中点击“重置密码”。 3. 在弹出的对话框中，输入手机验证码、新密码，点击“确定”完成子用户的密码重置。

操作步骤 1. 管理员登录IAM控制台。 2. 在左侧导航窗格中，选择“用户”。点击“编辑”，输入更新的前缀名。 3. 点击“确定”，完成前缀名的修改。

本文为您介绍如何创建账号登录名。 账号登录名指为当前账号分配的登录名，由账号前缀名和账号别名（后缀名），以及中间的“”共同组成。创建账号登录名成功后，可以为子用户设置后缀为账号别名的登录名。拥有登录名的子用户，可以使用登录名和密码完成登录。 账号登录名 1. 账号登录名总长度为3128位，首字母必须英文字母或汉字，只支持英文大小写字母、数字、汉字、“.”、“”或“”。 2. 账号登录名需要全局唯一。 3. 前缀名尾字母不能为“”，后缀名首字母不能为“ ”。 账号别名 1. 账号别名长度为163位，首字母不允许为“”，只支持英文大小写字母、汉字、数字、“.”、“”或“ ”。 2. 账号别名需要全局唯一。 3. 创建完成的账号别名，目前仅支持修改，不支持删除。 4. 由一位主用户创建的子用户，账号别名一致。且主用户调整账号后缀，所属子用户的账号后缀也会同步更新。 账号前缀名 1. 账号别名最小长度为1，最大长度为登录名总长度限制后缀名长度，前缀名尾字母不允许为“”，只支持英文大小写字母、汉字、数字、“.”、“”或“ ”。 2. 在相同账号别名的基础上，账号前缀名需要全局唯一。 3. 创建完成的账号前缀名，目前仅支持修改，不支持删除。

本文为您介绍IAM的使用限制。 目前，天翼云IAM中的用户数、用户组数等有配额限制， 其中“是否支持修改”列标示“是”的，表示该限制项可以修改。如果当前资源配额无法满足业务需要，您可在天翼云网门户提交工单，申请扩大配额。 限制项 限制值 是否支持修改 IAM用户组 50 是 用户组数 20 是 一个用户组中可添加的用户数 账号下的IAM用户数 否 委托数 50 是 用户可加入的用户组数 20 否 用户可创建的访问密钥（AK/SK）数 2 否 用户名的字符数 32 否 用户组名的字符数 64 否 子用户登录名字符数 128 否 IAM账号别名（后缀名） 63 否 子用户登录前缀名 128IAM账号别名 否 策略名称的字符数 64 否

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

Signature 待签名字符串stringsignature、kdate；再根据hmacsha256(kdate,stringsignature)得出的结果，再将结果进行base64编码得出Signature EopAuthorization {ctyuneopak} headers你构造待签名字符串时的header排序 Signature{Signature}(ctyuneopak后及Signature前都有一个空格)header排序以分号”;”拼接例子：你待签名的字符串header顺序是 eopdate和host；那么你加到header里的值就是EopAuthorization: {ctyuneopak} headerseopdate;host Signaturexad01/ada

本节主要介绍产品优势 对资源进行精细访问控制 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。 如果您创建了多种资源，例如弹性云主机、云硬盘、物理机等，您的团队或应用程序需要使用您的资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 跨帐号的资源操作与授权 如果您创建了多种资源，其中一种资源希望由其它帐号管理，您可以使用IAM提供的委托功能。 例如您希望将资源委托给一家专业的代运维公司来运维，通过IAM的委托功能，代运维公司可以使用自己的帐号对您委托的资源进行运维。当委托关系发生变化时，您可以随时修改或撤消对代运维公司的授权。下图中帐号A即为委托方，帐号B为被委托方。

我的凭证是将用户的安全凭证信息进行集中展示与管理的服务，安全凭证包括IAM用户ID、账号ID等。 项目ID是IAM用户的云服务所在区域（资源池）ID，您在调用云服务API接口进行云资源管理（如创建VPC）时，需要提供项目名称和项目ID。 我的凭证信息和项目信息可以在“我的凭证”中查看。 操作步骤 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单。 步骤 4 单击“我的凭证”，进入凭证详情页，查看IAM用户ID、账号ID、项目ID等信息。

企业项目视图 在企业项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名 ：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。 用户名/用户组名/委托名 ：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录，选择过滤条件为“用户名”、“用户组名”，输入指定对应名称，查看其授权记录。 说明 企业项目不支持委托功能，请选择过滤条件为“用户名”、“用户组名”。 基于企业项目授权，最小授权单位为用户，查看企业项目视图下指定IAM用户授权记录时，显示该IAM用户及其所属用户组的授权记录。 企业项目 ：企业项目的名称，即权限的作用范围。查看指定企业项目的授权记录，选择区域过滤条件为“企业项目”，输入企业项目名称，查看基于该企业项目的所有授权记录。 主体类型 ：授权对象类型，可以选择用户、用户组、委托3种。企业项目视图下，可以选择主体类型为“用户”、“用户组”；如果选择“委托”，筛选结果为空。 项目区域： IAM项目或区域。如果您在企业项目视图下，选择“项目区域”为过滤条件，并选择指定项目，将自动切换至IAM项目视图。

本节主要介绍自定义策略使用样例 配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts::" ] } ] } 说明 Action为授权项，格式为：服务名:资源类型:操作。 "cts::"：表示对云审计的所有操作。其中cts为服务名；“”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。 配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建物理机权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建物理机外的所有操作。 以下策略样例表示：拒绝IAM用户创建物理机。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:::bucket:TestBucket" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] } 说明 当前仅部分服务支持资源级授权，例如OBS 对象存储服务；对于不支持资源级别授权的服务，若自定义策略中含有资源类型，则无法创建成功。

操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 创建用户 user createUser 修改用户信息 user updateUser 删除用户 user deleteUser 创建AK/SK user createCredential、addCredential 删除AK/SK user deleteCredential 停用、启用AK/SK user changeCredentialStatus 修改AK/SK user updateCredential 创建用户组 userGroup createUserGroup 更新用户组 userGroup updateGroup、updateUserGroup 删除用户组 userGroup deleteUserGroup 添加用户到用户组 userGroup addUserToGroup、updateUser/updateUserGroup 从用户组删除用户 userGroup removeUserFromGroup、updateUser/updateUserGroup 创建委托 agency createAgency 修改委托 agency updateAgency 删除委托 agency deleteAgency 切换角色 agency switchRole Token createToken 创建自定义策略 role createRole 修改自定义策略 role updateRole 删除自定义策略 role deleteRole

本节主要介绍委托管理类 创建委托时提示权限不足怎么办 问题描述 IAM用户尝试进入IAM控制台创建委托时，系统提示权限不足。 可能原因 该IAM用户不具备使用IAM的权限。 拥有IAM使用权限的对象为： 帐号：帐号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”或“FullAccess”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 解决方法 请管理员创建委托。 请管理员授予使用IAM服务的权限。

本节主要介绍项目 每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您帐号中该区域的所有资源。 基于项目给用户组授权 以项目为单位进行授权，使得IAM用户仅能访问特定项目中的资源。 步骤 1 在用户组列表中，单击用户组右侧的“授权”，进入授权页面。 步骤 2 在授权页面中，勾选需要授予用户组的区域级项目权限，并单击“下一步”。 步骤 3 选择作用范围。此处选择区域项目，则还需要选择待授权的项目。 步骤 4 单击“确定”，完成授权。 说明 更多有关用户组授权的内容，请参见“创建用户组并授权”。 切换项目或区域 登录后需要先切换区域或项目，才能访问并使用授权的云服务，否则系统将提示没有权限。全局区域服务无需切换。 步骤 1 登录控制台。 步骤 2 进入具体的云服务页面，若云服务为项目级服务，则单击页面顶部区域下拉框，切换区域。

参数 含义 值 Version 角色的版本 1.0：代表基于角色的访问控制。 1.1：代表基于策略的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DAS:DAS: "：表示对DAS服务中DAS资源的所有操作。其中“DAS”为服务名；“DAS”为资源类型；“ ”为通配符，表示对DAS资源类型可以执行所有操作。 Statement： 角色的授权语句 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 Depends： 角色的依赖关系 displayname 依赖的角色名称 角色名称。 说明 给用户组授予示例的“DAS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”，“DNS Administraor”才会生效。

本节主要介绍基本流程 通过委托信任功能，您可以将自己的操作权限委托给更专业、高效的其他账号或者云服务，账号或者云服务可以根据权限代替您进行日常资源管理工作。 注意 只能对天翼云主帐号进行委托，不能对IAM子用户进行委托。 以账号A委托账号B管理账号A中的某些资源为例，说明委托的原理及方法。A帐号为委托方，B帐号为被委托方。 步骤 1 账号A创建委托。 图 委托方创建委托 步骤 2 （可选）账号B分配委托权限。 1. 创建用户组（如：Agency）并授予用户组管理委托的权限策略。 2. 创建用户并将用户Job加入到用户组（Agency）中。 图 为被委托方分配委托权限 步骤 3 账号B或IAM用户根据权限管理委托资源。 1. 被委托方登录自己的账号，并切换角色到账号A。 2. 切换到被授权的区域，并根据权限管理账号A的资源。 图 被委托方切换角色

本节主要介绍权限基本概念 权限 默认情况下，管理员创建的IAM子用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色： IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色不能完全满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略： IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对云主机资源进行某一类指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。 策略系统策略 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。 如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。

用户管理流程 1. A公司的管理员使用注册的帐号登录天翼云，创建“开发人员组”及“测试人员组”，并给用户组授权。操作步骤请参见：步骤1：创建用户组并授权。 2. A公司的管理员给三个职能团队中的成员创建IAM用户，并让他们使用新创建的IAM用户登录天翼云。操作步骤请参见：步骤2：创建IAM用户并登录。

限制分类 限制项 限制值 是否支持修改 用户 IAM用户数 50 √ 用户 用户名的字符数 32 x 用户 用户可加入的用户组数 10 x 用户 用户可创建的访问密钥（AK/SK）数 2 x 用户组 用户组数 20 √ 用户组 用户组名的字符数 64 x 用户组 一个用户组中可添加的用户数 帐号下的IAM用户数 x 用户组 一个用户组基于IAM项目可绑定的权限数（包括系统权限和自定义策略） 200 √ 策略 策略名称的字符数 64 x 自定义策略 自定义策略个数 128 √ 自定义策略 字符数 6144 x 自定义策略 Statement 8个/策略 x 自定义策略 Action 100个/Statement Action数组 x 自定义策略 Resource 10个/Statement Resource数组 x 自定义策略 Condition 10个/statement Condition数组 x 委托 委托数 50 √ 委托 委托名称的字符数 64 x 委托 一个委托可绑定的权限数（包括系统权限和自定义策略） 200 √

本节主要介绍产品功能 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。例如：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。 图 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中删除用户或将用户添加进其他用户组，实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给更专业、高效的其他帐号或者云服务，这些账号或者云服务可以根据权限代替您进行日常工作。

eopsdk(3).zip

本文为您介绍如何进行企业项目修改。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 点击企业项目列表操作栏中的“修改”按钮，进入企业项目修改页面。 4. 在弹出的修改企业项目对话框中，可修改企业项目名称、描述内容，点击“确定”完成企业项目信息的修改。 注意 同一个账号下的企业项目名称不可重复。

本文为您介绍如何进行企业项目授权。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 点击企业项目右侧操作栏的“查看用户组”，进入查看企业项目和用户组关系页面。 4. 点击“设置用户组”，您可以使用穿梭框，在可选用户组和已选用户组中，进行该企业项目绑定用户组的设置或移除。 5. 对设置在该企业项目上的用户组，点击用户组右侧的“设置策略”，选择所需的策略，点击“确定”为用户组完成在该企业项目上的授权。 说明 若用户组只在企业项目进行授权，则该用户组只对企业项目下的资源具有权限。 在步骤5的权限设置中，选择‘Full Access’策略，可使当前用户组拥有该企业项目下资源的全部操作权限。您可以通过这种方式，取代在企业项目上勾选全部策略。