概述

微服務云應用平臺權限管理是由統一身份認證（IAM）納管。子賬號登陸并訪問微服務云應用平臺前需要被管理員授權對應的微服務云應用平臺系統權限后才可以正常使用。

小團隊使用微服務云應用平臺

建議小團隊用戶使用IAM權限鑒權，簡單易上手。

1. 登陸天翼云官網并訪問IAM控制臺，選擇需要授權的子賬號。

2. 查看用戶，選擇所屬用戶組，添加用戶組。如未創建所需用戶組，請參考系統管理-主子賬號創建用戶組并給用戶組授權微服務云應用平臺權限策略。

3. 選擇目標用戶組，點擊確定即可。

IAM場景1

租戶是小團隊，只區分功能權限（常用場景）

1. 進入IAM控制臺

  2. 創建自定義策略

選擇策略管理，創建自定義策略。

測試策略內容，僅供參考，MSAP1.6后支持通配符策略。

  3. 選擇用戶組，創建用戶組。

  4. 選擇用戶，查看需要授權子賬號，在所屬用戶組TAB欄，添加目標用戶組。

完成以上配置后，即完成了IAM策略授權操作了！

IAM場景2

租戶是小團隊，區分功能權限，還想針對某個具體的資源控制數據權限。

1. 進入IAM控制臺

   2. 創建自定義策略或使用MSAP系統策略

選擇策略管理，創建自定義策略。

測試策略內容，僅供參考，MSAP1.6后支持通配符策略。

  3. 自定義數據權限

目前MSAP系統可以對環境、項目、應用實例做資源路徑數據權限管控，其資源路徑定義如下：

例如：

   4. 選擇用戶組，創建用戶組。

   5. 選擇用戶，查看需要授權子賬號，在所屬用戶組TAB欄，添加目標用戶組。

完成以上配置后，即完成了IAM數據權限策略授權操作了！

大團隊使用微服務云應用平臺

建議大團隊用戶使用企業項目權限鑒權，尤其已經有使用天翼云IAM企業項目功能的客戶和大團隊需要規劃數據資源的團隊極力推薦，操作方便，易于管理。

1. 登陸天翼云官網并訪問IAM控制臺，選擇企業項目，如未創建企業項目，請參考系統管理-主子賬號企業項目策略授權

2. 點擊查看用戶組，設置用戶組，如未創建請先創建用戶組

3. 選擇添加的用戶組，設置策略，選擇目標微服務云應用平臺權限策略，點擊確定即可

4. 選擇用戶組管理，添加目標子賬號加入到用戶組即可。

企業項目場景1

租戶是大團隊，不同用戶組有不同的功能權限，數據權限統一由企業項目里的資源管控（常用場景）。

舉例：假設在IAM策略授權中msap:inst:viewEnv是allow，但是在企業項目策略授權中是deny，那最終用戶msap:inst:viewEnv權限碼的效力為allow，因為需要遵循IT IAM定義：IAM授權策略的優先級 > 企業項目授權策略。

1. 進入IAM控制臺

  2. 進入用戶組創建用戶組。

   3. 選擇企業項目

如需要創建自定義企業項目：

創建好企業項目后，用戶可以將資源遷入遷出到目標企業項目, 子賬號需要有權限才可以將MSAP資源上報到對應的企業項目中。

或將MSAP系統中環境資源、項目資源、應用實例資源上報到企業項目中。

  4. 查看用戶組，并設置用戶組。

   5. 設置好用戶組后，再選擇設置策略，選擇目標策略授權即可。

   6. 設置好策略后，需要對用戶組管理，將需要授權子賬號加入到用戶組中。

完成上述操作后，即完成了企業項目授權操作。

企業項目場景2

租戶是大團隊，不同用戶組有不同的功能權限，數據權限想在企業項目里的資源管控下，再精細化通過5元組管控。

舉例：假設在IAM策略授權中msap:inst:viewEnv是allow，但是在企業項目策略授權中是deny，那最終用戶msap:inst:viewEnv權限碼的效力為allow，因為需要遵循IT IAM定義：IAM授權策略的優先級 > 企業項目授權策略

1. 進入IAM控制臺。

   2. 進入用戶組創建用戶組。

   3. 選擇企業項目。

如需要創建自定義企業項目：

創建好企業項目后，用戶可以將資源遷入遷出到目標企業項目, 子賬號需要有權限才可以將MSAP資源上報到對應的企業項目中。

或將MSAP系統中環境資源、項目資源、應用實例資源上報到企業項目中。

   4. 查看用戶組，并設置用戶組。

   5. 設置好用戶組后，再選擇設置策略，選擇目標策略授權即可。

   6. 自定義數據權限

目前MSAP系統可以對環境、項目、應用實例做資源路徑數據權限管控，其資源路徑定義如下：

例如：

  7. 設置好策略后，需要對用戶組管理，將需要授權子賬號加入到用戶組中。

完成上述操作后，即完成了企業項目授權操作。