CCR企业版绑定云资源标签后，您可以使用标签为实例进行分配并控制访问权限。本文将介绍如何通过标签控制IAM子用户的权限，使得不同的子用户拥有不同CCR实例的访问权限。

背景信息

标签可用于标识云资源，实现资源的分类管理；多用户访问IAM可基于权限策略，管理用户身份，控制云资源的访问和操作权限。标签和IAM结合，将标签作为权限策略的匹配条件，可以实现云资源精细化权限管理。

操作步骤

本步骤将使用百度智能云主账号新建一个自定义权限策略UseTagAccessPolicy（规定了IAM子用户只能访问指定标签 test：ccr 的CCR实例），并将自定义权限策略UseTagAccessPolicy授予IAM子用户。

1. 进入多用户访问控制控制台。
2. 单击左侧导航栏中策略管理进入“权限策略列表”页面。

3. 单击创建策略，在系统弹框中的选择按标签创建进入按标签创建权限策略页面。

   

4. 在标签创建权限策略页面完成相关配置：

   

   配置项	必选/可选	配置说明
   策略名称	必选	自定义策略名称，这里输入UseTagAccessPolicy。
   选择标签	必选	选择目标资源所绑定的标签，这里选择 test：cce 。
   选择服务	必选	选择目标资源对应的云服务，这里选择“容器镜像服务CCR”，系统将自动筛选出该标签所关联的全部CCR实例 。
   选择操作	必选	选择子用户可操作目标资源的权限，这里选择“只读权限”，支持多选“运维权限”及“管理权限” 。
   资源范围	必选	表示该策略所生效的CCR实例，系统自动匹配已选标签所关联的全地域下CCR实例。

   说明

   • 只读权限：拥有已选择标签关联全部实例的只读权限
   • 运维权限：拥有已选择标签关联全部实例的全部读写权限，但是不包括创建实例、升级实例、续费
   • 管理权限：拥有已选择标签关联全部实例的全部读写权限

5. 单击确认按钮完成创建，您可以在“权限策略列表”页面查看到创建的策略。
6. 将自定义权限策略授权给目标IAM子用户，具体操作，请参见子用户授权。