权限管理就是对子用户的权限进行管理。本文档介绍子用户的概念以及如何管理子用户的权限。

TrafficRoute 解析与调度套件中的以下服务支持权限管理功能：

• 火山引擎云解析（DNS）
• 火山引擎云调度（GTM）
• 火山引擎私网解析（PrivateZone）
• 火山引擎移动解析（HTTPDNS）

主账号和子用户

当您在火山引擎注册后，系统为您创建了一个主账号。主账号具有管理火山引擎云资源的所有权限。如果您有用户需要对指定云资源进行特定的操作，您可以创建子用户账号，并授予相应的权限。当子用户使用自己的账号访问火山引擎时，子用户就能对有权限访问的云资源进行操作了。在火山引擎中，子用户也称为 IAM 用户。参见 用户管理 了解如何创建子用户。

子用户权限

您可以授权子用户操作特定的云资源，以满足以下要求：

• 隔离子用户之间的操作。
• 控制对敏感数据的访问。

您可以对子用户授予以下权限：

• 是否允许子用户登录火山引擎管理控制台。
• 是否生成 API 访问的密钥。
  • 密钥包括 AccessKey ID 和 AccessKey Secret。
  • 用户发送的 API 请求中需要包含鉴权信息。鉴权信息中包含的签名是需要使用 AccessKey ID 和 AccessKey Secret 来计算的。参见 请求鉴权。

策略

您通过策略授予子用户权限。同时，您通过指定策略的作用范围来指定子用户可以操作的云资源。

策略内容

策略包含云产品的权限。策略可以包含一个云产品的权限，也可以包含多个云产品的权限。权限可以是一个云产品的部分权限或者所有权限。例如某个策略包含内容分发网络中与刷新与预热操作的权限。

策略类型

策略有以下类型：

• 系统预设策略：每个火山引擎云产品都有一个或者多个的系统预设策略。这些系统预设策略针对常见的操作场景预设了权限，方便对子用户授权。例如 DNSReadOnlyAccess 是一个系统预设策略。该策略包含了云解析 DNS 读取资源的权限。
• 用户自定义策略：如果系统预设策略不能满足您的需要，您可以创建权限的自定义组合。

TrafficRoute 有以下系统预设策略：

策略授权

通过将策略授权给子用户，使得子用户可以对云资源进行相应的操作。关于授权的具体步骤，参见 策略管理。

策略授权有以下两种模式：

• 全局授权：在您使用该模式将一个策略授予某个子用户后，该子用户就具有了该策略所包含的权限。同时，该子用户可以对主账号下所有适用的云资源都有这些权限。如果您只需要限制子用户的权限，但不需要限制子用户可以操作的云资源，可以使用该模式。
• 项目授权：在该模式下，除了将策略授予子用户外，您还需要指定项目作为该策略的作用范围。在您授权子用户后，该子用户就具有了该策略所指定的权限。同时，该子用户仅可以对指定项目中的云资源进行操作。如果您既需要限制子用户的权限，又需要限制子用户可以操作的云资源，可以使用该模式。

全局授权举例

您将 DNSFullAccess 以全局授权的模式授予一个子用户。在您授权子用户后，该子用户对云解析 DNS 的云资源拥有读写权限。

项目

项目是火山引擎用来管理云资源的单元。TrafficRoute 解析与调度套件暂不涉及云资源管理。