为什么子用户授权了产品创建权限，但是提交订单时会提示没有权限？

如果产品通过订单开通，那么子用户在授予创建资源权限后，也需要授权订单管理的“bss admin”权限，详细操作流程可以参考子用户如何创建和下单一类节点资源（以云主机为例）。如果子用户需要支付时使用代金券、优惠券等，需要同时授予“mkt admin”策略。

为什么子用户授权后部分资源池不生效？

目前一类节点和二类的节点的子用户产品授权是分开管理，如果需要对一类节点授权请点击这里操作：一类节点授权链接， 对二类节点授权点击这里操作：二类节点授权链接。此外，部分云服务的权限区分了资源池，在一部分资源池上，可能出现对子用户完成IAM授权后，子用户在访问时仍出现权限不足的问题，此时需要在企业项目上进行授权，云服务会在文档或系统策略中标注这种特殊情况。

子用户是否可以使用主用户创建的资源？

可以使用，子用户可以通过两种方式使用主用户开通的资源：

• 方式一：通过企业项目授权，这种方式子用户只能使用企业项目内的资源。管理员可以创建一个企业项目，然后将允许子用户使用的资源迁移到这个项目下，然后在这个项目上对子用户所在的用户组授予资源对应产品的权限。企业项目授权的详细步骤请参考基于企业项目完成授权。
• 方式二：通过IAM授权，这种方式子用户可以使用具体资源池或全局下的云服务资源。IAM授权的详细步骤请参考用户组授权。

为什么在企业项目上进行授权后，子用户仍缺少部分权限？

企业项目上进行授权后，代表该用户组下的子用户，对于企业项目下的资源能够拥有策略指定的权限。但是对于部分没有企业项目属性的服务，这种情况下将无法生效。例如，在企业项目上，为指定用户组A绑定策略“ecs admin”后，用户组A下的子用户能够查看企业项目下资源的云主机实例，但是使用安全组规则时仍会报错，此时是因为安全组规则不具有企业项目属性，需要额外在IAM中完成授权。IAM授权的详细步骤请参考用户组授权。

为什么在按照企业项目设置了用户组和策略，但是用户看到了不在该企业项目下的资源/按企业项目隔离用户可见资源失效？

这种情况可能是由于在资源池/全局范围上进行了IAM授权，覆盖了企业项目授权的隔离作用。解决方案是，针对需要在企业项目上进行隔离的权限，只在企业项目上通过设置用户组和策略完成授权。例如，如果需要子用户只能看到特定企业项目下的云主机ECS，在该企业项目下，配置子用户所属的用户组，同时配置ecs admin。同时，查询该用户的资源池/全局授权情况（可以通过授权管理，或子用户-查看中的权限管理查看用户和所属用户组上的权限配置），如果存在ecs admin这类云主机权限，取消该授权。最后，重新登录子用户查看是否能够隔离资源。

关于资源池/全局授权和企业项目授权之间的关系，详见IAM授权与企业项目授权。