通过创建角色操作，你拥有了一个被授予特定权限的角色，且该角色可以被某个云账户使用。本节将以被信任账户的角度，介绍如何作为被信任的用户，使用角色访问信任账户的云资源。为方便理解，这里假设云资源及角色所在账户ID为111111111，角色名称RoleA，拥有BCC服务器Server001的运维权限，被信任云账户为 222222222，希望为子用户UserB授予代入角色RoleA的权限。

先决条件

1. 拥有被信任账户222222222的系统管理员权限;
2. 子用户UserB拥有有效的获取AKSK;
3. 子用户UserB拥有目标账户的账户ID和角色名称。

操作步骤

控制台代入角色

1. 使用账户2222222管理员账户登录百度智能云控制台;
2. 为子用户UserB授 STSAssumeRoleAccess策略权限, 具体操作请参考用户授权;
3. 子用户UserB登录控制台,鼠标移动到页面右上角头像处,点击按钮切换身份跳转页面;
4. 在跳转页面中输入目标账户的账户ID、角色名称后,点击切换后进入目标角色空间;
5. 如需返回子用户UserB所在账户,需要将鼠标移动到页面右上角头像处,点击按钮返回UserB。

使用API代入角色

1. 使用账户222222222的管理员账户登录百度智能云控制台；
2. 为子用户UserB授予STSAssumeRoleAccess策略权限，具体操作请参考用户授权；

3. 子用户UserB通过AssumeRole API，替换参数accountID为111111111，roleName为RoleA，即可以代入账户111111111的角色RoleA。默认情况下，角色会话会持续2小时，你也可以在使用AssumeRoleAPI时设定参数durationSeconds具体有效时间，这个时间不能超过2小时；

4. 此时，子用户UserB将得到角色RoleA的临时凭证，并暂时放弃其在账户222222222的权限，具备了运维服务器Server001的权限。在访问Server001时，需要将AK/SK 替换为AssumeRoleAPI返回的临时AK/SK，并将Token更换为返回的SessionToken。