概述

多用户访问控制(Identity and Access Management, IAM)，主要用于百度智能云的身份管理和访问控制，解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色，你可以对不同员工赋予产品的不同权限，以共享你账户内的资源，完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时，推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景：

• 中大型企业客户：对公司内多个部门的不同员工进行集中资源和权限管理；
• 独立软件服务商(ISV)或SaaS平台商：对代理客户进行集中的资源和权限管理；
• 中小开发者或小企业：添加项目成员或协作者，进行资源和权限管理。

创建用户

1. 主账号用户登录后在控制台右上角，选择“多用户访问控制”，进入“多用户访问控制”页面。
   
2. 在左侧导航栏点击“用户管理”，在“子用户”页，点击“创建子用户”。
   
3. 在弹出的“创建子用户”对话框中，完成填写“用户名”等信息，“确定”后返回“子用户管理”列表区可以查看到刚刚创建的子用户。

配置策略

服务网格CSM支持系统策略和用户自定义策略两种，分别实现CSM的产品级权限和实例级权限控制。
系统策略：百度智能云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。
自定义策略：由用户自己创建，更细化的管理资源的权限集，可以针对单个实例配置权限，相比系统策略更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

本节说明接入IAM的产品系统策略，当前服务网格CSM系统策略包含只读权限、运维权限和管理权限。

策略名称	权限说明	权限范围
CSMFullControlAccessPolicy	完全控制管理服务网格(CSM)的权限	查看概览 查看网格列表 查看、创建、删除、升级实例 查看集群列表 添加、移出集群 查看、创建、编辑、删除Istio资源 查看服务列表、服务详情 查看、编辑自动注入配置 修改Sidecar资源配额等全部操作
CSMOperateAccessPolicy	运维操作服务网格(CSM)的权限	查看概览 查看网格列表 查看、升级实例 查看集群列表 查看、创建、编辑、删除Istio资源 查看服务列表、服务详情 查看、编辑自动注入配置 修改Sidecar资源配额等变更操作
CSMReadAccessPolicy	只读访问服务网格(CSM)的权限	查看概览 查看网格列表 查看实例 查看集群列表 查看Istio资源 查看服务列表、服务详情 查看自动注入配置 查看Sidecar资源配额等只读权限

自定义策略

本节用于说明接入IAM产品的自定义策略内的权限操作类型以及权限的范围。自定义策略是从实例维度进行授权，与系统策略不同，只对选定的实例生效，无法创建新的实例。
在“多用户访问控制”页面通过左侧导航栏进入“策略管理”，然后点击“创建策略”，策略生成方式默认为策略生成器，不需要修改，选择服务“服务网格CSM”进入如下页面，进行具体实例的权限设置。

权限说明	权限范围
只读权限	查看概览 查看网格列表 查看实例信息 查看集群列表 查看Istio资源 指定实例的其它查看权限
变更权限	可按需按需选择以下权限： 删除实例 添加、移出集群 变更Istio资源 实例的其它变更操作

用户授权

在“用户管理”下的“子用户”页面中，对应子用户的“操作”列选择“添加权限”，为用户选择系统权限或自定义策略并进行授权。

说明：如果在不修改已有策略规则的情况下修改某子用户的权限，只能通过删除已有的策略并添加新的策略来实现，不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后，可以将链接发送给子用户；子用户可以通过IAM用户登录链接登录主账号的管理控制台，根据被授权的策略对主账户资源进行操作和查看。

其他详细操作参考：多用户访问控制。