当企业有多种云资源时，使用访问控制的身份管理与权限管理功能，实现用户分权及资源统一管理。

背景信息

企业 A 的某个项目（Project-X）上云，购买了多种阿里云云资源，例如：云主机实例、VPC 实例、负载均衡实例和 OSS 存储空间等。项目里有多个员工需要操作这些云资源，由于每个员工的工作职责不同，需要的权限也不同。

企业 A 希望能够达到以下要求：

• 企业 A 不希望多员工共享同一个云账号，共享云账号可能导致密码或访问密钥泄露。
• 企业 A 希望能给员工创建独立账号（操作员账号）并独立分配权限，做到责权一致。
• 企业 A 希望用户账号只能在授权的前提下操作资源，所有用户账号的所有操作行为可审计。
• 企业 A 希望随时可以撤销用户账号身上的权限，也可以随时删除其创建的用户账号。
• 企业 A 不需要对用户账号进行独立的计量计费，所有发生的费用统一计入云账号账单。

解决方案

• 为不同员工（应用系统）创建子用户，并按需设置登录密码。
• 如果有多个员工的职责相同，建议创建橘色，并将用户添加到角色。
• 为角色添加一条或多条系统策略。如果需要更细粒度的授权，可以创建自定义策略并为角色进行授权。
• 为不需要权限的角色移除权限。