单租户下如何使用IAM系统策略对各IAM子用户进行细粒度权限划分

当华为云租户需要对各IAM用户进行细粒度权限控制时，要使用到IAM策略。关于策略的详细介绍参见IAM权限管理文档。OSC作为UCS的子服务，其细粒度权限的划分包括UCS FullAccess和UCS ReadOnlyAccess两个系统策略。

其中UCS FullAccess系统策略包含OSC所有接口的使用权限，UCS ReadOnlyAccess系统策略包含OSC所有Read、List接口的使用权限。授予子用户某个系统策略的操作步骤与单租户下多IAM用户使用企业仓库场景如何配置权限？的操作步骤相同，只需在7勾选两个系统策略之一即可：

需要注意的是， UCS FullAccess、UCS ReadOnlyAccess权限与CCE集群中Kubernetes资源权限相互独立。所以在涉及到CCE集群中资源的操作（如创建服务实例、查询服务实例）中，需要前往CCE管理页面进行单独授权。一般情况下，参见CCE授予集群全部权限文档进行权限授予即可：

另外，出于用户数据安全的考虑，UCS FullAccess系统策略中默认不包含OBS和SWR权限的授予。所以对于ISV账户，如果其管理的某个IAM子用户需要进行商品发布的操作，除UCS FullAccess之外，还需要额外给该子用户授予OBS Administrator系统策略：

如果其管理的某个IAM子用户需要使用容器镜像仓库（普通版，非企业版）进行私有服务的上传操作，除UCS FullAccess之外，还需要前往容器镜像服务-组织管理页面，为该子用户添加osc组织的管理权限：