创建用户组并授权

前提条件

在创建用户组前，建议管理员提前了解并规划以下内容：

• 了解权限的基本概念及分类。
• 所有使用IAM授权的云服务的系统策略，请参考：系统权限。

创建用户组

1. 管理员登录IAM控制台。
2. 在统一身份认证服务，左侧导航窗格中，选择“用户组”页签，单击右上方的“创建用户组”。
   图1 创建用户组
   

3. 在“创建用户组”界面，输入“用户组名称”。
4. 单击“确定”，用户组创建完成，用户组列表中显示新创建的用户组。
   

   您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可以申请扩大配额，具体方法请参见：如何申请扩大配额？。

给用户组授权

以下步骤仅适用于给用户组新增权限。如需移除权限，请参见：移除用户组权限。

1. 在用户组列表中，单击新建用户组右侧的“授权”。
   图2 进入用户组权限设置页面
   

2. 在用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。
   如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。

   图3 选择权限
   

3. 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。

   表1 授权范围方案

   可选方案	方案说明
   所有资源	授权后，IAM用户可以根据权限使用账号中所有资源，包括企业项目、区域项目和全局服务资源。
   指定企业项目资源	选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。
   指定区域项目资源	选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 说明： 不支持选择专属云DEC的区域项目。
   全局服务资源	IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。

4. 单击“确定”，完成用户组授权。

表2为常用权限，完整的权限列表请参见：系统权限。

• 当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。

• 更多有关权限的使用建议请参见：多运维人员权限设置案例、依赖角色的授权方法、自定义策略使用样例。