主账号拥有项目管理的完全访问权限，如果您需要对IAM用户进行精细的权限管理，请为IAM用户授予对应的权限策略。

创建IAM用户并授权

1. 进入访问控制控制台，创建IAM用户，详情请参见：用户管理。

2. IAM用户需通过关联策略来赋予权限，授权方式请参见：为用户进行授权。

访问项目管理的权限

您可以为IAM子用户授予下述权限以支持访问项目的业务场景：

1. 系统预设策略，策略详情请前往策略管理-系统预设策略查看：

   1. IAMFullAccess：访问控制(IAM)全部管理权限

   2. IAMReadOnlyAccess：访问控制（IAM）的只读访问权限，不包含密钥Secret Access Key的查看权限

2. 若系统预设策略无法满足您的精细化授权需求，请进入策略管理，点击“新建自定义策略”，如下述示例为仅支持管理项目资源查询、移入、移出的自定义策略描述：

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetProject",
                "iam:ListProjectResources",
                "iam:MoveProjectResource",
                "iam:ListProjects"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

授予项目资源的标签查看权限

若您需要使用标签筛选项目资源时，可以查看及筛选资源归属的标签，没有权限时无法看到标签列表及资源上的标签信息

如果为IAM身份登陆，需要被授权标签服务相关的权限：

1. 系统预设策略，策略详情请前往策略管理-系统预设策略查看：

   1. TagFullAccess：该策略允许您管理账户内标签服务相关的内容，例如按标签查询等相关内容

2. 若系统预设策略无法满足您的精细化授权需求，请进入策略管理，点击“新建自定义策略”，如下述示例为仅支持查看标签的自定义策略描述：

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetTags",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}