基本概念

并行文件存储 PFS 已经接入了百度智能云IAM平台，用户可以在IAM平台创建子用户，对云上业务进行细粒度管理和使用。

百度智能云IAM子用户有如下特点：

1. 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源，但计费主体依然是主用户。
2. 子用户可以独立使用管理控制台和API。
3. 主用户可以对子用户进行授权，在IAM里授权是通过给子用户关联策略来完成的，一个子用户可以关联多个策略。

IAM子用户应用场景

用户可以在百度智能云上通过主子用户体系，灵活使用PFS资源。

• 企业子用户管理与分权

  企业A使用百度智能云账号购买了多种云资源（如BCC实例/PFS实例/BLB实例/BOS存储/...），A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样，需要的权限也不一样。出于安全考虑，A不希望将主用户的密钥直接公布给员工，而希望能给不同岗位员工创建相应的子用户。子用户只能在授权的前提下操作资源，不需要进行独立的计量计费，所有资源费用都归属主用户。A主用户随时可以撤销子用户的权限，也可以随时删除其创建的子用户。

• 企业之间的资源操作与授权管理

  A和B代表不同的企业。A购买了多种云资源（如BCC实例/PFS实例/BLB实例/BOS存储/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工，即B为其员工创建相应的子用户供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

策略说明

PFS在云上提供了系统策略模式。

系统策略，主用户对子用户授予后，子用户可对主用户名下所有PFS资源进行相应的操作能力，共有如下三种系统策略：

• PFSFullcontrolAccessPolicy：完全控制并行文件存储（PFS）的权限。
• PFSOperateAccessPolicy：运维操作并行文件存储（PFS）的权限。
• PFSReadAccessPolicy：只读访问并行文件存储（PFS）的权限。

操作步骤

1. 策略创建

   进入“管理控制台”，选择“多用户访问控制”

   

   选择“策略管理”，搜索PFS，可以看到PFS相关系统策略。

   

2. 为子用户授权

   主用户可为子用户授予策略。在“用户管理”页签选择“子用户”，为子用户添加权限。

   

   选择“全部策略”或“系统策略”，搜索PFS获取相应策略列表，选择希望授予子用户的权限，点击“确定”即可将权限赋予子用户。

   

   删除子用户授权：点击用户名，进入“子用户详情页面”，“权限信息”处可以看到此用户拥有的权限，点击“删除”可以将此权限从用户权限中去掉。