* [子用户创建NAT网关时，需要哪些权限？](#.5a2Q55So5oi35Yib5bu6TkFU572R5YWz5pe277yM6ZyA6KaB5ZOq5Lqb5p2D6ZmQ77yf) * [NAT网关的安全组、网卡、SNAT规则、DNAT规则是否和NAT网关所属的项目一致？](#.TkFU572R5YWz55qE5a6J5YWo57uE44CB572R5Y2h44CBU05BVOinhOWImeOAgUROQVTop4TliJnmmK_lkKblkoxOQVTnvZHlhbPmiYDlsZ7nmoTpobnnm67kuIDoh7TvvJ8=) * [子用户调用 DescribeNatGateways 接口，提示无权限？](#.5a2Q55So5oi36LCD55SoIERlc2NyaWJlTmF0R2F0ZXdheXMg5o6l5Y-j77yM5o-Q56S65peg5p2D6ZmQ77yf) * [子用户调用 DescribeSnatEntries 接口，提示无权限？](#.5a2Q55So5oi36LCD55SoIERlc2NyaWJlU25hdEVudHJpZXMg5o6l5Y-j77yM5o-Q56S65peg5p2D6ZmQ77yf) * [进入NAT网关列表页面，为什么显示当前子用户无权限？](#.6L-b5YWlTkFU572R5YWz5YiX6KGo6aG16Z2i77yM5Li65LuA5LmI5pi-56S65b2T5YmN5a2Q55So5oi35peg5p2D6ZmQ77yf) * [创建NAT网关时，无法选择私有网络？](#.5Yib5bu6TkFU572R5YWz5pe277yM5peg5rOV6YCJ5oup56eB5pyJ572R57uc77yf) * [创建NAT网关时，提交确认订单，提示无权限？](#.5Yib5bu6TkFU572R5YWz5pe277yM5o-Q5Lqk56Gu6K6k6K6i5Y2V77yM5o-Q56S65peg5p2D6ZmQ77yf) * [为什么子用户无法查看监控数据？](#.5Li65LuA5LmI5a2Q55So5oi35peg5rOV5p-l55yL55uR5o6n5pWw5o2u77yf) * [子用户如何使用标签功能？ ](#.5a2Q55So5oi35aaC5L2V5L2_55So5qCH562-5Yqf6IO977yf) ## 子用户创建NAT网关时，需要哪些权限？子用户成功创建NAT网关，必须满足如下其中一个情况。 * 情况1：子用户具有作用范围为全局的创建NAT网关权限。 * 情况2：子用户具有如下三种权限。 * 子用户在私有网络所属的项目具有创建NAT网关权限。 * 子用户在子网所属的项目具有创建NAT网关权限。 * 子用户在待创建NAT网关所属的项目具有创建NAT网关权限。示例：无创建NAT网关全局权限的子用户，需要创建NAT网关，此时VPC所属项目A，子网所属项目B，待创建的NAT网关所属项目C。子用户在项目A有创建NAT网关权限，子用户在项目B有创建NAT网关权限，子用户在项目C有创建NAT网关权限。 ## NAT网关的安全组、网卡、SNAT规则、DNAT规则是否和NAT网关所属的项目一致？默认保持一致。当NAT网关移入、移出项目时，其子资源（SNAT规则、DNAT规则、NAT网关辅助网卡、NAT网关安全组）也会随之移入、移出项目。 * SNAT规则和DNAT规则不支持手动修改所属的项目。 * NAT网关的网卡、安全组支持但不建议手动修改所属的项目。 ## 子用户调用 DescribeNatGateways 接口，提示无权限？分为如下两种情况： * 子用户没有作用范围为全局的查询NAT网关权限，也没有作用范围为项目的查询NAT网关权限，请联系主账号授权或使用有权限的子用户。 * 子用户没有作用范围为全局的查询NAT网关权限，有作用范围为项目的查询NAT网关权限，调用 DescribeNatGateways 接口，必须传入`ProjectName`或`NatGatewayIds.N`参数。 ## 子用户调用 DescribeSnatEntries 接口，提示无权限？分为如下两种情况： * 子用户没有作用范围为全局的查询SNAT规则权限，也没有作用范围为项目的查询SNAT规则权限，请联系主账号授权或使用有权限的子用户。 * 子用户没有作用范围为全局的查询SNAT规则权限，有作用范围为项目的查询SNAT规则权限，调用 DescribeSnatEntries 接口，必须传入`NatGatewayId`或者`SnatEntryIds.N`参数。 ## 进入NAT网关列表页面，为什么显示当前子用户无权限？进入NAT网关列表后，系统默认筛选全部项目，请您根据提示，切换项目或联系主账号进行授权。 ## 创建NAT网关时，无法选择私有网络？可能情况如下： * 当前环境中还未创建私有网络实例。 * 当前子用户创建NAT网关时，子用户有创建NAT网关权限的项目里没有创建私有网络实例。 ## 创建NAT网关时，提交确认订单，提示无权限？子用户创建NAT网关选择的子网，子用户在该子网所属的项目不具有创建NAT网关权限。 ## 为什么子用户无法查看监控数据？子用户没有云监控的相关权限。子用户具有NAT网关权限后，如需查看监控数据，还需要为子用户授权云监控相关权限。 1. 子用户所属的主账号登录 [访问控制控制台](https://console.volcengine.com/iam/identitymanage/user)。 2. 在左侧导航树中，选择**用户管理 \> 用户**，进入用户页面。 3. 单击待授权的子用户的用户名，进入用户详情页面。 4. 单击**添加权限**按钮，按需为子用户添加系统预设云监控策略权限。 |策略名 |支持的操作 | |---|---| |CloudMonitorFullAccess |云监控(CloudMonitor)的管理权限。授予此权限后，子用户不仅可以查看监控数据，还可以使用云监控产品。 | |CloudMonitorReadOnlyAccess |云监控(CloudMonitor)的访问权限。授予此权限后，子用户仅能查看监控数据。 | 5. 单击**确定**按钮，完成操作。 ## 子用户如何使用标签功能？ ### 步骤一：创建标签策略 1. 子用户所属的主账号登录 [访问控制控制台](https://console.volcengine.com/iam/identitymanage/user) 。 2. 在左侧导航树中，选择**权限策略**，进入策略管理页面。 3. 单击**新建自定义策略**按钮，输入策略名称和策略内容，策略内容参考如下： ```Plain Text { "Statement":[ { "Effect":"Allow", "Action":[ "vpc:TagResources", "vpc:UntagResources", "vpc:ListTagsForResources" ], "Resource":[ "*" ] } ] } ``` 4. 单击**创建策略**按钮，完成创建。 ### 步骤二：为子用户添加标签策略 1. 子用户所属的主账号登录 [访问控制控制台](https://console.volcengine.com/iam/identitymanage/user) 访问控制控制台。 2. 在左侧导航树中，选择**用户管理 \> 用户**，进入用户页面。 3. 单击待授权子用户的用户名，进入用户详情页面。 4. 单击**添加权限**按钮，勾选步骤一新创建的策略。 5. 单击**确认**按钮，完成操作。