如果您的组织成员需要访问证书中心，我们建议您避免分享您的火山引擎账号，以防止过度授权和账号泄露风险。作为一项最佳实践，您可以为组织成员创建子用户，并授予子用户有限的访问权限。组织成员可以使用子用户账号访问证书中心。本文为您介绍配置和使用子用户账号的方法。

背景信息

您在火山引擎注册的账号是主用户账号（简称“主账号”）。主账号具有您在火山引擎上所有资源的访问权限。我们不建议您在组织内共享主账号。
当您的组织内的成员需访问火山引擎上的具体资源时，您可以通过访问控制服务来创建子用户，并授予他们访问特定资源的权限。这样做后，您只要将子用户账号（简称“子账号”）分发给对应的成员，便可以对他们在火山引擎上的访问权限进行有效管理。
访问控制 IAM（Identity and Access Management）是火山引擎提供的身份与访问管理服务。下文将为您详细介绍如何使用访问控制服务创建子用户，并如何给子用户赋予访问证书中心的权限，以及利用该子用户账号登录且访问证书中心。

创建子用户

1. （使用主账号）登录火山引擎访问控制控制台。
2. 在左侧导航栏，选择 身份管理 > 用户。
3. 在用户列表的上方，单击 新建用户。
4. 单击 通过用户名创建。
5. 完成配置向导。

配置向导说明

您可以参照以下说明，完成 通过用户名创建 配置向导：

1. 基本信息设置。
   1. 为子用户设置一个 用户名，及其他选填信息。
      单击 添加用户，可以添加多个子用户。一次最多允许创建 10 个子用户。
   2. 在 登录设置 区域，选中 控制台访问，并为子用户设置访问火山引擎控制台的访问密码。
      您也可以视需选择 编程访问，即为子用户生成 Access Key，允许其调用 API 访问火山引擎。
   3. 单击 下一步。
      
2. 权限设置。

   1. 在 添加权限策略 标签页，您可以输入关键词 “ssl” 来搜索与证书中心相关的系统预设策略，根据需要将策略授予子用户。系统预设策略表示由火山引擎默认提供的一组权限的集合。不同产品有对应的系统预设策略。
      与证书中心产品相关的系统预设策略如下表所示。

      系统预设策略	说明	推荐场景
      SSLFullAccess	SSL 证书服务的全部管理权限（读写权限）。	允许子用户使用 SSL 证书的全部功能，如购买证书、请求证书、下载证书、部署证书等。
      SSLReadOnly	SSL 证书服务的只读管理权限。	允许子用户查看证书列表、证书详情等。

   2. 设置 作用范围。不同选项的含义如下：

      • 全局：表示策略的作用范围是主账号下的所有资源。
      • 指定项目：表示策略的作用范围仅限于特定项目包含的资源。
        项目是火山引擎提供的一种用来对各种资源进行分组的功能。在证书中心产品中，信息模板和证书都是被视为资源。如果您选择了 指定项目，则需要指定一个具体的项目。通过这样授权，子用户则只能在您指定的项目中行使您所授予的权限。子用户无法查看或访问其他项目的资源。

   3. 单击 下一步。
      

3. 审阅。
   1. 确认子用户的 基本信息 和 权限设置，单击 提交。
   2. 完成手机验证。

子用户创建成功后，您可以在用户列表查看所有子用户。

使用子用户账号访问证书中心

子用户可以使用以下两种方式访问证书中心控制台：

• 访问专用的登录链接，提供子用户的用户名和密码
  您可以在访问控制控制台的 用户 页面上方获取子用户的专用登录链接（如下图所示）。
  
  子用户访问专用登录链接后，只需提供子用户的用户名和密码（如下图所示）即可登录到火山引擎控制台。
  
• 访问通用的登录链接，并选择 IAM 用户登录 方式（下图左侧所示）。
  子用户使用该方式登录时，需要提供主账号的用户名、子用户的用户名和密码（如下图右侧所示）。
  

登录成功后，子用户可前往 证书中心控制台 访问证书中心。子用户可以在证书中心控制台查看、管理 SSL 证书。子用户可执行的操作取决于您在创建子用户时为其分配的权限。