基本概念

文件存储CFS已经接入了百度智能云IAM平台，用户可以在IAM平台创建子用户，对云上业务进行细粒度管理和使用。

百度智能云IAM子用户有如下特点：

1. 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源，但计费主体依然是主用户。
2. 子用户可以独立使用管理控制台和API。
3. 主用户可以对子用户进行授权，在IAM里授权是通过给子用户关联策略来完成的，一个子账号可以关联多个策略。

IAM子用户应用场景

用户可以在百度智能云上通过主子用户体系，灵活使用CFS资源。

• 企业子用户管理与分权企业A使用百度智能云账号购买了多种云资源（如BCC实例/CFS实例/BLB实例/BOS存储/...），A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样，需要的权限也不一样。出于安全考虑，A不希望将主账号的密钥直接公布给员工，而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源，不需要进行独立的计量计费，所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限，也可以随时删除其创建的子账号。
• 企业之间的资源操作与授权管理A和B代表不同的企业。A购买了多种云资源（如BCC实例/CFS实例/BLB实例/BOS存储/...）来开展业务。A希望能专注于业务系统，而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工，即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止，A随时可以撤销对B的授权。

策略说明

CFS在云上提供了系统策略和自定义策略两种策略模式。

系统策略，主用户对子用户授予后，子用户可对主用户名下所有CFS资源进行相应的操作能力，共有如下三种系统策略：

• CFSFullControlAccessPolicy：管理百度智能云文件存储服务（CFS）的权限。
• CFSOperateAccessPolicy：运维百度智能云文件存储服务（CFS）的权限。
• CFSReadOnlyAccessPolicy：只读百度智能云文件象存储服务（CFS）的权限。

三种系统策略对应的权限，与CFS的API对应关系如下：

自定义策略，主用户可以为子用户授权自定义的只读和运维权限，或授权特定操作权限。支持的特定操作API如下：

操作步骤

1. 点击右上角账户头像，选择选择多用户访问控制。

2. 选择策略管理进入到策略管理页，点击创建策略。

• 如果想创建自定义的只读或运维等权限策略，请选择按策略生成器创建。在策略生成器页，设置策略名称、描述，在服务中选择文件存储CFS，设置权限效果（支持允许或拒绝）、操作（支持只读或运维）、资源、条件（支持time、ipAddress、sourceVpc）等。

• 如果想创建特定操作的权限策略，请选择按策略语法创建。在创建权限策略页，设置策略名称、说明、设置自定义策略内容。

1# 策略案例：禁止子用户删除CFS文件系统
2
3{
4    "id": "policy_ea5e180cf9c34ed9be78449d76765f4a",
5    "version": "v1",
6    "accessControlList": [
7        {
8            "service": "bce:cfs",
9            "region": "*",         ## 地域，如bj、bd、*（所有地域）等
10            "resource": [
11                "*"
12            ],
13            "effect": "deny",      ## 效果，如allow（允许）、deny（拒绝）
14            "permission": [        ## 操作，目前支持设置的特定操作API见 策略说明 章节
15                "DropCfs" 
16            ]
17        }
18    ]
19}

3. 完成创建后，在权限策略列表中，即可看到新创建的自定义策略。
4. 在 用户管理-子用户 页，选择对应子用户，点击编辑权限，勾选希望授予子用户的权限，点击确定即可将权限赋予子用户。

5. 如想删除子用户授权，操作同第4步，在已选策略中删除对应权限，点击确定即可将此权限从子用户权限中去掉。