基本概念

文件存储CFS已经接入了百度智能云IAM平台，用户可以在IAM平台创建子用户，对云上业务进行细粒度管理和使用。

百度智能云IAM子用户有如下特点：

1. 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源，但计费主体依然是主用户。
2. 子用户可以独立使用管理控制台和API。
3. 主用户可以对子用户进行授权，在IAM里授权是通过给子用户关联策略来完成的，一个子账号可以关联多个策略。

IAM子用户应用场景

用户可以在百度智能云上通过主子用户体系，灵活使用CFS资源。

• 企业子用户管理与分权

  企业A使用百度智能云账号购买了多种云资源（如BCC实例/CFS实例/BLB实例/BOS存储/...），A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样，需要的权限也不一样。出于安全考虑，A不希望将主账号的密钥直接公布给员工，而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源，不需要进行独立的计量计费，所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限，也可以随时删除其创建的子账号。

• 企业之间的资源操作与授权管理

  A和B代表不同的企业。A购买了多种云资源（如BCC实例/CFS实例/BLB实例/BOS存储/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工，即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

策略说明

CFS在云上提供了系统策略和自定义策略两种策略模式。

系统策略，主用户对子用户授予后，子用户可对主用户名下所有CFS资源进行相应的操作能力，共有如下三种系统策略：

• CFSFullControlAccessPolicy：管理百度智能云文件存储服务（CFS）的权限。
• CFSOperateAccessPolicy：运维百度智能云文件存储服务（CFS）的权限。
• CFSReadOnlyAccessPolicy：只读百度智能云文件象存储服务（CFS）的权限。

三种系统策略对应的权限，与CFS的API对应关系如下：

系统策略	可操作API
管理	CFS所有API
运维	Updatefilesystem Describefilesystem Creatmounttarget Deletemounttarget Describemounttarget
只读	Describefilesystem Describemounttarget

自定义策略，主用户可以按Region、按细粒度资源为子用户授权。可授予以下两种权限类型：

自定义策略	可操作API
运维	Updatefilesystem Describefilesystem Creatmounttarget Deletemounttarget Describemounttarget
只读	Describefilesystem Describemounttarget

操作步骤

1. 策略创建

   进入“管理控制台”，选择“多用户访问控制”

   

   选择“策略管理”，搜索CFS，可以看到CFS相关系统策略。

   当预期使用自定义策略时，进入策略管理页面，选择“创建策略”。

   

   在自定义策略创建页面，为该自定义策略命名之后，需要筛选“服务类型”为CFS，并为预期授权的实例选择对应的权限。

   在资源选择方面，主用户可在列表中查看目前已创建的CFS实例，并选择预期授权的实例。

   

   之后，在自定义策略列表中，即可看到新创建的自定义策略了。

   注意：在使用CFS产品时，如果需要为CFS实例添加/修改挂载点时，会需要用户从名下已有的VPC、子网的列表中进行筛选，作为挂载点的挂载信息。因此，当主用户为子用户授予具有管理、运维权限的系统策略或自定义策略时，也需同时在百度智能云IAM平台为该子用户授予对VPC、子网产品具有只读或更高权限的策略。

2. 为子用户授权

   当策略创建完成后，即可为子用户授予策略。

   在“用户管理”页签为子用户添加权限。

   

   选择“系统策略”或“自定义策略”，获取相应策略列表，选择希望授予子用户的权限，点击“确定”即可将权限赋予子用户。

   

   删除子用户授权：点击用户名，进入“子用户详情页面”，“权限信息”处可以看到此用户拥有的权限，点击“删除”可以将此权限从用户权限中去掉