IAM用户管理分为两部分，即子用户管理和消息接收人管理：

• 通过使用子用户管理，你可以创建并管理账户下的子用户，规定子用户访问云账户内资源的形式，为子用户授予必要的资源访问权限，以及决定是否通过MFA的手段强制要求子用户使用多因素认证等，子用户默认具备消息接收人功能；
• 通过使用消息接收人管理，你可以创建并管理账户下的消息接收人，消息接收人在接收来自账户的消息通知前，需要通过验证，以防消息的滥发；

子用户管理

创建子用户

1. 登录百度智能云管理控制台，鼠标移动到右上角头像，下拉列表选择多用户访问控制 > 用户管理 > 子用户, 点击创建子用户。

2. 如果用户名，备注(可选)字段，你可以选择该子用户访问云账户资源的方式：

   

• 编程访问：授权子用户可通过编程方式访问云资源，系统默认为该子用户生成一对有效的AccessKey和SecretKey，用于调用智能云的API或通过SDK管理或使用云资源；
• 控制台密码访问：授权子用户可通过控制台登录云账户，可以选择创建全新的密码、系统自动生成密码以及绑定百度内网账号的方式设置密码。你还可以选择要求首次登录用户必须修改密码。

通常情况下，你只需要为子用户指定一种云资源的访问方式，你也可以为同一子用户同时指定2种访问方式。在后续的操作中，你也可以随时取消子用户对账户的访问。

3. 在快速授权选项，你可以选择是否为子用户快速授权系统管理员权限，勾选后，该子用户将拥有该账户下所有云资源的管理权限，通常用于快速为团队创建云管理员。

设置子用户密码

为新建的子用户设置登录密码，子用户登录的两种选择：

• 方式一：推荐方式，使用设置的用户名+设置的密码，进行登录操作；
• 方式二：绑定百度账号，使用百度账号+对应的账号密码，进行登录操作；

1. 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中，选择子用户点击设置或修改进行密码的设置和修改，出现“设置密码”弹框。设置成功后，用户可以通过该【用户名】和【密码】进行登录。

2. 你可以选择勾选“要求用户下次登录时必须重置密码”，则子用户在下次登录时，系统会要求子用户重设密码。

3. 你也可以选择“绑定内网账号”，选择“百度账号”，子用户登录时，使用百度账号和该账号的密码进行登录。

管理子用户信息

1. 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中，直接点击用户名或者管理，进入子用户详情页。
2. 修改子用户基本信息。

子用户双因素认证

双因素验证是一种简单有效的安全认证方法。它能够在用户名和密码之外，再增加一次额外的验证方式，通常使用短信验证码或是基于TOTP协议的一次性软件动态码的形式进行验证。

目前双因素认证可以提供登录保护和操作保护，分别对子用户的登录行为，和其对云资源的操作行为进行二次验证。详情请参考双因素验证。

管理子用户AccessKey

管理AccessKey：您可以根据实际情况删除或者新建AccessKey。子用户最多可以同时拥有20对AccessKey和SecretKey，但建议你只保存和使用2对，用于轮换。你可以删除最后一对AccessKey，以取消子用户对云资源的编程访问。

建议定期刷新AccessKey，以保证账户安全。

子用户授权

管理权限信息：在“权限信息”栏，您可以根据实际情况添加或删除子用户的权限。你可以为同一子用户授予多种服务、不同的资源访问权限。

管理子用户API Key

在AccessKey和SecretKey认证机制之外，IAM为开发者用户提供了API Key认证机制，子用户可以使用API Key直接使用千帆ModelBuilder、AppBuilder、AI开放平台内的服务能力，详细可见API Key简介。

作为管理员用户，你可以直接管理子用户的API Key，包含其生命周期的管理，以及Key权限的管理。当前1个子用户最多可以拥有200个API Key。

子用户操作日志

操作日志：目前已记录到云审计产品，点击查看会跳转到云审计页面。

删除子用户

在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中，选择对应的子用户，点击删除，弹窗确认后可进行删除

注意：删除子用户后，子用户对应的权限、密码也会随之删除，将无法恢复，所以在未能明确不需要子用户时，建议使用子用户的禁用功能。

禁用子用户

在某些场景下，你需要临时禁用子用户对云资源的访问权限，此时你可以使用子用户禁用功能。在“用户管理”的“子用户”页签中，选择对应的子用户，点击禁用，即可禁止该子用户使用。后续你也可以重新激活该子用户，恢复其访问权限。

禁用效果：子用户无法登录控制台，无法通过子用户的AKSK，API Key调用云账户的API。

主账号别名设置

您可以为主账号设置便于记忆的别名，以简化子用户登录链接和子用户登录时输入的主账号信息。

1. 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表上方，点击”自定义“进行修改。

2. 输入自定义的主账号别名，点击确定并完成绑定手机的安全验证。

3. 修改完成后，子用户登录链接将进行简化，同时子用户登录时可输入主账号别名即可。

消息接收人管理

概述

消息接收人为用户的一种类型，它无法登录百度智能云控制台或者进行编程访问，仅可以通过主用户或管理员子用户设置用于接收来自账户的消息。

历史说明

原用户中心联系人管理迁移到多用户访问控制 > 用户管理 > 消息接收人进行统一管理。

创建消息接收人

1. 登录百度智能云管理控制台，选择多用户访问控制。

2. 选择用户管理 > 消息接收人，点击创建消息接收人。

   

   注意：在同一账户下，消息接收人和子用户的用户名唯一；请填写有效的手机、邮箱，确保可以接收到消息通知，以验证消息接收人身份。

验证消息接收人

在接收来自账户的消息之前，消息接收人需要主动接收来自账户管理员发送的邀请：

1. 成功创建消息接收人，系统会自动发送短信和邮箱邀请给对应的消息接收人；
2. 你也可以在消息接收人列表中，通过查看消息接收人的短信/邮箱状态，确认其是否验证通过，对于未验证通过的用户，可以重发验证；

3. 消息接收人会通过短信或邮件的形式接收到来自账户的邀请，点击邀请链接，即可完成对其联系方式的验证。

为消息接收人订阅消息

点击管理，选择编辑，进入消息中心，为消息接收人设置订阅消息。

将消息接收人加入用户组

可以将消息接收人加入用户组，用户统一订阅消息，例如，可以在云监控BCM中设置用户组成员作为报警接收人等。

注意：消息接收人可以添加到用户组，权限策略对消息接收人不生效，如果希望一个用户可以拥有权限策略同时可以作为消息接收人，推荐使用用户管理 > 子用户。