在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对物理机的访问。

操作步骤

创建IAM子用户

具体操作，请参见统一身份认证 IAM。

创建自定义策略

天翼云提供了访问物理机服务的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。

策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。

细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。

策略版本号：Version，标识策略结构的版本号。目前为1.1.

策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。

作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。

授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。

a) 脚本配置策略示例一：为IAM子用户配置物理机查看者权限。

b) 脚本配置策略示例二：为IAM子用户配置物理机管理员权限（*代表取所有值）

授权自定义策略

授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见统一身份认证 IAM。

授权系统策略

您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。