创建扣子专业版子用户并开启允许访问火山引擎后，会为此用户创建并关联一个同名的 IAM 用户，并将其和扣子专业版子用户绑定。新的扣子专业版子用户会拥有一个 IAM 用户身份，默认被授予扣子专业版的只读权限 CozeReadOnlyAccess，你也可以为其授予扣子专业版全部管理权限 CozeFullAccess，如需其他火山引擎产品的权限，可以由主账号在访问控制控制台为 IAM 用户授权，授权完成后，与 IAM 用户绑定的扣子专业版子用户即拥有相应权限。

权限策略

策略是访问控制 IAM 描述能力的一种方式，IAM 用户可以关联以下两种权限策略：

• 系统预设策略：统一由火山引擎创建，你只能使用不能修改，策略的版本更新由火山引擎维护。
• 用户自定义策略：如果系统预设策略无法满足你的授权需求，你可以新建自定义策略，策略的版本更新由你自己维护。详情请参考新建自定义策略。

下表为你提供扣子专业版和火山方舟的系统预设策略，你可以直接为 IAM 用户授权。

为扣子专业版子用户授权

为扣子专业版子用户授权，实际是通过为扣子专业版子用户关联的 IAM 用户授权来实现，需要主账号在访问控制控制台进行授权操作。你可以直接为 IAM 用户授权，或将 IAM 用户添加进用户组，用户组中的成员将继承用户组的权限。

前提条件

开始前，请确保完成以下操作：

• 已经创建了扣子专业版子用户，并开启允许访问火山引擎。详情请参考创建扣子专业版子用户。
• 已经获取了与扣子专业版子用户关联的 IAM 用户的用户名。
  你可以在扣子专业版控制台的用户列表区域，将鼠标悬停在子用户对应的允许上，查看与其关联的 IAM 用户的用户名。
  

直接为扣子专业版用户授权

你可以直接为单个扣子专业版用户授权。
操作步骤如下：

1. 登录访问控制控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，找到目标 IAM 用户，单击操作列下的管理。

4. 在用户详情页面，单击权限页签。

5. 根据需求选择全局权限或项目权限。

   全局权限

   项目权限

   添加全局权限时，策略对账号内所有项目（包括未来新增项目）生效。

   1. 单击添加权限。
   2. 在弹框中，搜素并选择目标权限。
      扣子专业版和火山方舟的常用权限可参考权限策略。
   3. 单击确定。

   添加项目权限时，策略仅对项目内的资源生效。

   1. 单击添加权限。
   2. 搜素并选择目标权限，然后选择作用范围。
      扣子专业版和火山方舟的常用权限可参考权限策略。
   3. 单击确定。

完成授权后，权限立即生效，你可以使用授权的专业版子用户登录火山引擎扣子专业版控制台，进行相关的操作。

通过加入用户组为扣子专业版用户授权

你可以创建用户组并向用户组授权，再将专业版子用户添加进用户组，用户组中的子用户将继承用户组的权限。

创建用户组并授权

操作步骤如下：

1. 登录访问控制控制台。
2. 在左侧导航栏，选择身份管理 > 用户组。
3. 在用户组页面，单击新建用户组。
4. 输入用户组名、显示名和备注，然后单击提交。
5. 单击立即授权，根据业务需求授权。
   扣子专业版和火山方舟的常用权限可参考权限策略。
6. 单击确定。

将专业版子用户添加进用户组

操作步骤如下：

1. 在左侧导航栏，选择身份管理 > 用户。
2. 在用户页面，找到目标 IAM 用户，单击操作列下的管理。
   你可以在扣子平台的用户管理页面查看IAM 用户的用户名为 { 扣子专业版子用户的用户名 } + @CloudIdentitySaas组成。例如，扣子专业版子用户的用户名为test_name，则关联的 IAM 用户的用户名为test_name@CloudIdentitySaas。
3. 在用户详情页面，单击用户组页签。
4. 单击添加至组，选择目标用户组。
5. 单击确定。

授权完成后，权限立即生效，你可以在权限页签下的附组附加权限查看授予的权限。

授权示例：为专业版子用户添加火山方舟只读权限

本示例介绍如何为扣子专业版子用户添加火山方舟只读权限ArkReadOnlyAccess，添加完成后，扣子专业版子用户即可查看火山方舟控制台的全部资源。
操作步骤如下：

1. 登录访问控制控制台。
2. 在左侧导航栏，选择身份管理 > 用户。
3. 在用户页面，找到目标 IAM 用户，单击操作列下的管理。
4. 在用户详情页面，单击权限页签。
5. 在全局权限下，单击添加权限。
6. 搜索并勾选ArkReadOnlyAccess，然后单击确定。
   

授权完成后，扣子专业版子用户即可查看火山方舟控制台的全部资源，例如查看方舟模型调用量统计。