如何创建IAM委托？

操作场景

跨区域复制镜像时，需要通过委托来校验目的端云服务权限，因此，您需要提前创建一个“云服务”类型的委托。本文介绍了创建IAM委托的操作步骤。

背景知识

委托是您与其他华为云账号或者云服务创建的一种信任关系，如果您在华为云购买了多种云资源，其中一种云资源希望让更专业、高效的公司或者云服务来代运维，您可以通过IAM的委托功能，与代运维公司或者云服务创建委托信任关系，实现安全高效的资源代运维工作。

操作步骤

1. 登录管理控制台。
2. 单击右上方登录的用户名，在下拉列表中选择“统一身份认证”。
3. 在左侧导航栏中，单击“委托”。
4. 在“委托”页面，单击“创建委托”。
5. 在“创建委托”页面，设置如下参数：
   • 委托名称：按需填写，例如“ims_copy_image_agency”。
     图1 创建委托
     
   • 委托类型：选择“云服务”。
   • 云服务：（“委托类型”选择“云服务”时出现此参数项。）在下拉列表中选择“镜像服务IMS"。
   • 持续时间：选择“永久”。
   • 描述：非必选，可以填写“拥有IMS跨区域复制镜像权限的委托”。
6. 单击“完成”，在授权的确认弹窗中，单击“立即授权”。根据镜像类型勾选需要授予委托的权限。
   图2 给委托授权
   
7. 单击“下一步”，选择权限的作用范围，给委托授权。
   图3 选择权限作用范围
   
8. 单击“确定”，委托创建完成。
   图4 新创建的委托
   
   

   授权记录列表中若存在Tenant Administrator或者IMS Administrator系统角色权限，建议您单击“删除”，避免权限过大导致风险问题，IMS服务已提供细粒度的系统策略，建议您配置最小权限。例如：跨区域复制镜像委托权限过大时，建议优化为如下权限：

   表1 跨区域复制镜像所需的权限

   场景	系统策略名
   跨区域复制系统盘镜像和数据盘镜像	IMS CrossCopyAgencyPolicy
   跨区域复制整机镜像	IMS CrossCopyAgencyCBRPolicy