步骤四：创建非管理员IAM账户

本章节介绍如何创建非管理员IAM账户。

租户采集的鉴权采用的是IAM鉴权，因此需要创建拥有安全云脑接口访问权限的IAM最小权限账户（机机账户），同时禁止开启MFA。该账户主要用于租户侧日志采集器登录并访问安全云脑。

创建非管理员IAM账户

使用IAM管理员账号登录管理控制台。
在页面左上角单击，选择“管理与监管 > 统一身份认证服务 IAM”，进入统一身份认证服务管理控制台。
创建用户组。
1. 在左侧导航栏选择“用户组”，进入用户组页面后，单击右上角“创建用户组”。
2. 在创建用户组页面，设置用户组名称和描述信息。
  - 用户组名称：请设置为“租户采集用户组”。
  - 描述：自定义描述信息即可。
3. 单击“确定”。

添加权限。

在左侧导航栏选择“权限管理 > 权限”，并在权限页面右上角单击“创建自定义策略”。

配置策略。

策略名称：请设置为“租户采集最小权限策略”。
策略配置方式：选择“JSON视图”。

策略内容：请直接复制粘贴以下内容。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                "secmaster:workspace:get", 
                "secmaster:node:create", 
                "secmaster:node:monitor", 
                "secmaster:node:taskQueueDetail" ,
                "secmaster:node:updateTaskNodeStatus" 
            ] 
        } 
    ] 
}

单击“确定”。

给用户组授权。
1. 在统一身份认证服务IAM管理控制台的左侧导航栏选择“用户组”，进入用户组页面后，选择并单击3创建的用户组“租户采集用户组”名称，进入用户组详情页面。
2. 在“授权记录”页签中，单击“授权”。
3. 在选择策略页面，搜索并选中4添加的权限“租户采集最小权限策略”后，单击“下一步”。
4. 设置最小授权范围，请选择“所有资源”，设置完成后，单击“确定”。

创建用户。

在统一身份认证服务IAM管理控制台的左侧导航栏选择“用户”，进入用户页面后，单击右上角“创建用户”。

配置用户基本信息。

表1 用户基本信息
参数名称		配置说明
用户信息		自定义配置。设置后，记录此处IAM用户名信息（IAM User Name），方便后续使用。
访问方式	编程访问	勾选。
访问方式	管理控制台访问	不勾选。
凭证类型	访问密钥	勾选。
凭证类型	密码	勾选。勾选密码后，勾选“自定义”，并自定义设置密码。设置后，记录此处IAM用户密码信息（IAM User Password），方便后续使用。

单击页面右下角“下一步”，进入加入用户组页面。
搜索并选中3创建的用户组“租户采集用户组”，单击右下角“创建用户”。

确认用户未绑定虚拟MFA设备。
1. 在统一身份认证服务IAM管理控制台的左侧导航栏选择“用户”，进入用户页面后单击6创建的用户的名称。
2. 选择“安全设置”页签，并确认“虚拟MFA设备”的状态为“未绑定”。
查看IAM用户的域账号信息。
1. 将鼠标悬停至控制台右上角用户名上，并在下拉框中选择“我的凭证”。
2. 在API凭证信息中，查看并记录账号名，此信息则为后续安装isap-agent的域账号信息。
  图1 域账号信息