委托权限

为正常提供服务功能，GCS老的委托方式是要求客户创建名为servicestage_admin_trust的委托，提供op_svc_servicestage账号获取创建资源的能力。

但由于op_svc_servicestage账号被多个服务共享，将导致您无法精细化控制对特定服务的授权行为，即授权servicestage的同时也会授权GCS，反之亦然。

为解决该问题，GCS服务提供了新的委托方式，后续若您不再使用GCS服务，可直接删除委托“gcs_admin_trust”，该操作将只影响GCS，不影响您使用其他服务。

由于GCS在运行中对存储、容器等各类云服务资源都存在依赖关系（如：按照您的流程在指定的环境中下发任务）。因此在您使用GCS服务前，需要在IAM中创建名为“gcs_admin_trust”委托并授予“op_svc_gcs_container”账号Tenant Administrator权限，即允许GCS服务使用账户“op_svc_gcs_container”对您的其他云服务资源进行操作，从而更好地为您提供服务。该委托将仅用于GCS服务对所依赖的其他云服务资源进行调用。

具体操作步骤如下：

1. 使用“管理员账号”登录统一身份认证服务控制台。
2. 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。
   图1 创建委托
   

3. 在创建委托页面，设置委托名称为“gcs_admin_trust”。
4. “委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的帐号名“op_svc_gcs_container”。
   图2 云服务委托名称
   

5. 选择“持续时间”，填写“描述”信息。
6. 单击“下一步”，进入给委托授权页面。
7. 勾选“Tenant Administrator”权限，单击“下一步”。
   图3 选择策略
   

8. 选择权限的作用范围为“所有资源”。
   图4 授权范围
   

9. 单击“确定”，委托创建完成，服务即可使用。

如果您不再使用GCS服务，可直接删除委托“gcs_admin_trust”，该操作将只禁止GCS服务操作您的服务，不影响您使用其他服务。