注册百度智能云账号后，系统自动创建的超级管理员用户即为账号的主用户，默认拥有云账户的所有权限和管理所有云资源的权限。在多个人员共享资源和协作管理的场景下，为了保证账户和资源的安全，管理员可以创建子用户，实现不同子用户使用不同的用户名密码，以及拥有不同的云资源访问权限，更多信息请参见百度智能云账户身份体系。

默认情况下，子用户没有使用CCE的任何权限，因此，需要管理员授权允许子用户拥用相应的权限。

CCE授权体系

CCE 权限管理，包括百度智能云多用户访问控制（IAM）策略授权和 Kubernetes 角色访问控制（RBAC）授权，支持从集群和命名空间级别对子用户/用户组进行细粒度的授权。CCE 的授权可分为两个使用阶段：

• 第一阶段是基于 IAM 策略的授权，管理员对 IAM 子用户/用户组授予 CCE 集群级别（集群、节点、节点组等资源）的只读/管理权限（比如创建/删除集群、添加/移出节点、创建/删除节点组等），授权将作用于 CCE 整个产品，更多信息请参见配置IAM预置权限策略。
• 第二阶段是基于 Kubernetes RBAC 的授权，管理员对 IAM 子用户授予 CCE 集群命名空间级别（Kubernetes 资源）的只读/运维开发/管理权限（比如创建/删除工作负载、Service、Ingress 等），授权作用于 CCE 某个集群或集群下某个命名空间，更多信息请参见配置预置RBAC权限策略。