使用子用户访问边缘函数

如果您的组织有人员需要访问边缘函数，我们不建议您分享您的火山引擎账号，这样会过度授权并使账号面临泄露的风险。作为一项最佳实践，您可以为相关人员创建一个 IAM 用户（也称为火山引擎的“子用户”）身份并授予有限的访问权限。相关人员可以使用子用户身份访问边缘函数。本文为您介绍配置子用户的方法。

背景信息

您在火山引擎注册的账号是主用户账号（以下简称“主账号”）。主账号具有您在火山引擎上所有资源的访问权限。由于主账号的权限过大，我们不建议您在组织内共享主账号。
如果您的组织内有人员需要访问火山引擎上的特定资源，您可以通过访问控制创建子用户并为子用户授予部分资源的访问权限。这样，您只需将子用户对应的账号（也就是子用户的登录凭证，简称“子账号”）分配给对应人员，即可实现管控人员在火山引擎上的访问权限。
访问控制 IAM（Identity and Access Management）是火山引擎提供的身份与访问管理服务。下文将为您介绍如何通过访问控制创建一个子用户、为子用户授予边缘函数的访问权限，并使用该子用户访问边缘函数。

创建子用户

1. （使用主账号）登录火山引擎访问控制控制台。
2. 在左侧导航栏，选择 身份管理 > 用户。
3. 单击 新建用户。
4. 单击 通过用户名创建。
5. 完成配置向导。
   您可以参照以下说明，完成 通过用户名创建 配置向导：
   1. 基本信息设置。
      1. 设置一个 用户名，及其他选填信息。 单击 添加用户，可以添加多个用户名。一次最多允许添加 10 个用户名。
      2. 在 登录设置 区域，选中 控制台访问，并为子用户设置访问火山引擎控制台的访问密码。 您也可以视需选择 编程访问，即为子用户生成 Access Key，允许其调用 API 访问火山引擎。
      3. 单击 下一步。
   2. 权限设置。

      1. 在 添加权限策略 标签页，您可以输入关键词边缘函数来搜索与边缘函数相关的系统预设策略，根据需要将策略授予子用户。 系统预设策略表示火山引擎内置的一组权限的集合。不同产品有对应的系统预设策略。边缘函数提供的系统预设策略如下表所示。

         系统预设策略	说明	推荐场景
         VeefFullAccess	边缘函数全部管理权限（读写权限）	允许子用户使用边缘函数的全部功能。
         VeefReadOnlyAccess	边缘函数的只读访问权限。	只允许子用户查看边缘函数中已有的资源的信息。

      2. 选择 作用范围为全局。
         作用范围表示系统预设策略的作用范围。项目是火山引擎用来对不同产品下的资源进行分组管理的一项功能，边缘函数下的资源目前不支持按照项目管理。

      3. 单击 下一步。
         

   3. 审阅。
      1. 确认子用户的 基本信息 和 权限设置，单击 提交。
      2. 完成二次身份验证。 创建子用户是一项敏感操作。为保护您的账号安全，您必须完成二次身份验证。验证方式包括手机号验证、MFA 验证等。具体使用哪种方式，取决于您的 账号保护 设置。请根据界面提示完成验证。

子用户创建成功后，您可以在用户列表查看所有子用户。

子用户访问边缘函数

子用户可以使用以下两种方式访问边缘函数控制台：

• 方式一：访问专用的登录链接，并提供子用户的用户名和密码进行登录。 您可以在访问控制控制台的 用户 页面上方获取子用户的专用登录链接（如下图所示）。
  
  子用户访问专用登录链接后，只需提供子用户的用户名和密码即可登录到火山引擎控制台。
  
• 方式二：访问通用的登录链接，并选择 IAM 用户登录 方式（下图左侧所示）进行登录。
  子用户使用该方式登录时，需要提供主账号的用户名或 ID、子用户的用户名和密码（如下图右侧所示）。
  
  子用户登录成功后，即可前往边缘函数控制台访问边缘函数。子用户可以在边缘函数控制台执行的操作取决于您在创建子用户时为子用户分配的权限。 如果需要调整子用户的权限，请您登录主账号，并前往 访问控制控制台 的用户页面进行操作。