容器镜像服务CCR企业版支持基于IAM策略授权，它主要用于帮助用户安全管理百度智能云账号下资源的访问权限。通过IAM您可以将权限策略授予子用户（组）从而控制哪些用户可以使用哪些资源。IAM详细说明请见多用户访问控制。

本文将介绍为用户授予不同IAM权限策略。

说明

• 企业版与个人版为两套独立的权限系统，若有需求您需要分别对用户单独进行授权。
• 企业版支持对不同层级的资源进行授权（目前支持两级，即您可以对实例和命名空间进行授权）。

前提条件

• 已使用百度智能云账户创建用户，具体操作可参见用户管理。

操作步骤

• 注意：非管理员权限的子用户需要同时授予CCR企业版和CCR个人版的只读或操作权限，才能有权限操作企业版实例。关于CCR个人版权限策略详见CCR个人版权限策略

授予系统策略

企业版CCR目前提供三种IAM系统策略：ECCRReadAccessPolicy（只读访问企业版CCR）、ECCROperateAccessPolicy（运维操作企业版CCR）、ECCRFullControlAccessPolicy（完全控制企业版CCR）。

策略名称	策略权限说明	策略依赖权限
ECCRReadAccessPolicy	只读访问企业版CCR 允许控制台只读操作，以及下载镜像权限	CCRReadPolicy BOSLISTANDReadAccessPolicy
ECCROperateAccessPolicy	运维操作企业版CCR权限 默认拥有只读权限，控制台全部操作权限,以及上传、下载镜像权限	CCROperatePolicy BOSLISTANDReadAccessPolicy VPCFullControlAccessPolicy SUBNETFullControlAccessPolicy SNICFullControlAccessPolicy CASOperateAccessPolicy
ECCRFullControlAccessPolicy	完全控制企业版CCR的权限 默认拥有只读和运维操作权限，以及创建实例、续费实例、升级实例规格权限	CCRFullControlPolicy BOSFullControlAccessPolicy VPCFullControlAccessPolicy SUBNETFullControlAccessPolicy SNICFullControlAccessPolicy CASOperateAccessPolicy FCOrderCreatePolicy

以下以授予用户ECCROperateAccessPolicy权限策略为例：

1. 登录百度智能云官网，并进入管理控制台。
2. 在控制台右上角个人信息中单击多用户访问控制，进入“多用户访问控制”控制台页面。

3. 在左侧导航栏中选择“用户管理 > 子用户”进入“子用户管理”页面。
4. 单击目标子用户左侧操作中的编辑权限。
5. 在“编辑权限”弹出框勾选“ECCROperateAccessPolicy”策略，如下图所示：

6. 单击确定添加按钮将依赖权限一并添加，再次单击确定按钮即可为该用户授予对应权限。

授予自定义策略

若您想设置更细粒度的权限，可以创建自定义策略实现细粒度的访问控制，以下将提供典型场景下的策略配置来方便您使用。关于策略语法的详细介绍，请参见策略语法说明。

• 授予用户只读指定实例的策略，如实例ID为ccr-test：

    {
        "version": "v2",
        "accessControlList": [
            {
                "service": "bce:eccr",
                "region": "*",
                "resource": [
                    "instance/ccr-test*"
                ],
                "effect": "Allow",
                "permission": [
                    "READ"
                ]
            }
        ]
    }

• 授予用户完全控制（管理）指定实例的策略，如实例ID为ccr-test：

    {
        "version": "v2",
        "accessControlList": [
            {
                "service": "bce:eccr",
                "region": "*",
                "resource": [
                    "instance/ccr-test*"
                ],
                "effect": "Allow",
                "permission": [
                    "FULL_CONTROL"
                ]
            }
        ]
    }

• 授予用户只读指定实例内的指定命名空间的策略，如实例ID为ccr-test，命名空间名称为ns-test：

    {
        "version": "v2",
        "accessControlList": [
            {
                "service": "bce:eccr",
                "region": "*",
                "resource": [
                    "instance/ccr-test/project/ns-test"
                ],
                "effect": "Allow",
                "permission": [
                    "READ"
                ]
            }
        ]
    }

• 授予用户完全控制（管理）指定实例内的指定命名空间的策略，如实例ID为ccr-test，命名空间名称为ns-test：

    {
        "version": "v2",
        "accessControlList": [
            {
                "service": "bce:eccr",
                "region": "*",
                "resource": [
                    "instance/ccr-test/project/ns-test"
                ],
                "effect": "Allow",
                "permission": [
                    "FULL_CONTROL"
                ]
            }
        ]
    }

以下以授予用户只读指定实例（ID：ccr-test）的自定义权限策略为例：

创建自定义策略

1. 登录百度智能云官网，并进入管理控制台。
2. 在控制台右上角个人信息中单击多用户访问控制，进入“多用户访问控制”控制台页面。

3. 在左侧导航栏中选择“策略管理”进入“权限策略列表”页面。
4. 单击创建策略，在“选择创建策略的方式”弹出框中选择按策略语法创建。
5. 在“创建权限策略”页面完成相关配置，如下图所示：

配置项	必选/可选	配置说明
策略名称	必选	输入自定义策略名称。
说明	可选	输入自定义策略说明信息。
策略模板	可选	您可以选择已有策略模板，基于模板内容创建新的策略。
策略内容	必选	根据策略语法说明输入您需要策略内容，这里您可以直接复制上面典型场景下授予用于只读指定实例的策略。

6. 单击完成即可完成创建自定义策略，您可以在权限策略列表查看创建的权限并给用户授权。

授予用户自定义策略

1. 在左侧导航栏中选择“用户管理 > 子用户”进入“子用户管理”页面。
2. 单击目标子用户左侧操作中的编辑权限。
3. 在“编辑权限”弹出框勾选您创建的自定义策略。
4. 单击确定按钮即可为该用户授予只读指定实例的自定义权限。