為什么子用戶授權了產品創建權限，但是提交訂單時會提示沒有權限？

如果產品通過訂單開通，那么子用戶在授予創建資源權限后，也需要授權訂單管理的“CtyunBssAdmin”權限，詳細操作流程可以參考子用戶如何創建和下單一類節點資源（以云主機為例）。如果子用戶需要支付時使用代金券、優惠券等，需要同時授予“mkt admin”策略。

為什么子用戶授權后部分資源池不生效？

目前一類節點和二類的節點的子用戶產品授權是分開管理，如果需要對一類節點授權請點擊這里操作：， 對二類節點授權點擊這里操作：。此外，部分云服務的權限區分了資源池，在一部分資源池上，可能出現對子用戶完成IAM授權后，子用戶在訪問時仍出現權限不足的問題，此時需要在企業項目上進行授權，云服務會在文檔或系統策略中標注這種特殊情況。

子用戶是否可以使用主用戶創建的資源？

可以使用，子用戶可以通過兩種方式使用主用戶開通的資源：

• 方式一：通過企業項目授權，這種方式子用戶只能使用企業項目內的資源。管理員可以創建一個企業項目，然后將允許子用戶使用的資源遷移到這個項目下，然后在這個項目上對子用戶所在的用戶組授予資源對應產品的權限。企業項目授權的詳細步驟請參考基于企業項目完成授權。
• 方式二：通過IAM授權，這種方式子用戶可以使用具體資源池或全局下的云服務資源。IAM授權的詳細步驟請參考用戶組授權。

為什么在企業項目上進行授權后，子用戶仍缺少部分權限？

企業項目上進行授權后，代表該用戶組下的子用戶，對于企業項目下的資源能夠擁有策略指定的權限。但是對于部分沒有企業項目屬性的服務，這種情況下將無法生效。例如，在企業項目上，為指定用戶組A綁定策略“ecs admin”后，用戶組A下的子用戶能夠查看企業項目下資源的云主機實例，但是使用安全組規則時仍會報錯，此時是因為安全組規則不具有企業項目屬性，需要額外在IAM中完成授權。IAM授權的詳細步驟請參考用戶組授權。

為什么在按照企業項目設置了用戶組和策略，但是用戶看到了不在該企業項目下的資源/按企業項目隔離用戶可見資源失效？

這種情況可能是由于在資源池/全局范圍上進行了IAM授權，覆蓋了企業項目授權的隔離作用。解決方案是，針對需要在企業項目上進行隔離的權限，只在企業項目上通過設置用戶組和策略完成授權。例如，如果需要子用戶只能看到特定企業項目下的云主機ECS，在該企業項目下，配置子用戶所屬的用戶組，同時配置ecs admin。同時，查詢該用戶的資源池/全局授權情況（可以通過授權管理，或子用戶-查看中的權限管理查看用戶和所屬用戶組上的權限配置），如果存在ecs admin這類云主機權限，取消該授權。最后，重新登錄子用戶查看是否能夠隔離資源。

關于資源池/全局授權和企業項目授權之間的關系，詳見IAM授權與企業項目授權。