在協同使用資源的場景下，如果您需要根據實際的職責權限情況配置用戶使用權限，可使用

統一身份認證（Identity and Access Management，簡稱IAM）服務，創建多個IAM用戶并為其授予不同的權限，實現不同IAM子用戶可以分權管理不同的資源，從而提高管理效率，降低信息泄露風險。通過IAM可實現精細化權限管理、安全訪問、批量管理用戶權限、委托其他帳號管理資源等功能。您可以創建并為IAM用戶或用戶組在全局授權或企業項目授權中添加一組權限策略后，即可讓其有權限訪問指定資源。

IAM是天翼云提供的免費基礎服務，您只需為購買資源進行付費。關于IAM的詳細介紹，請參見IAM產品介紹。

身份管理

訪問控制IAM中的身份包括IAM用戶、IAM用戶組。

IAM用戶有確定的登錄密碼和訪問密鑰，IAM用戶組則用于分類職責相同的IAM用戶，IAM用戶和IAM用戶組均可以被賦予一組權限策略。在需要協同使用資源的場景中，避免直接共享天翼云賬號的密碼等信息，縮小不同IAM子用戶的信息可見范圍，可為IAM子用戶和IAM用戶組按需授權，即使不慎泄露機密信息，也不會危及天翼云賬號下的所有資源。

權限管理

統一身份認證IAM通過權限策略描述授權的具體內容，權限策略包括固定的基本元素“Action”“Effect”等。為IAM用戶、IAM用戶組在全局授權或企業項目授權中添加一組權限策略后，即可讓其有權限訪問指定資源。

權限策略分為系統策略和自定義策略:

• 系統策略：預置的系統策略，您只能使用不能修改。鏡像服務相關的系統策略包含如下：
  • Admin：鏡像服務的管理者權限，包含鏡像服務所有控制權限（不含訂單類權限）。
  • Viewer:鏡像服務的觀察者權限，包含鏡像服務的列表頁與詳情頁面權限。
• 自定義策略：您按需自行創建和維護的權限策略。

鏡像服務策略表

鏡像服務提供2種系統策略，具體見下表：

鏡像服務權限三元組表

下表是鏡像服務相關權限三元組及生效范圍：

天翼云支持對用戶組/子用戶，進行資源池或全局維度的權限授權；同時也支持在企業項目中，對用戶組進行資源組維度的權限授權。部分沒有企業項目屬性的接口或資源，授權只能以資源池或全局維度進行。以資源池或全局維度進行的授權判斷，其優先級高于企業項目中的資源組維度授權。