基于项目控制IAM用户对资源的访问

项目是火山引擎提供的一种资源管理方式。基于项目，您可以对云资源进行分组管理。例如，您可以针对不同业务或部门创建不同的项目，然后基于项目来管理不同业务或部门使用的资源。有关项目的更多信息，请参见项目概述。

本文介绍了如何基于项目来控制IAM用户对边缘计算节点资源的访问。

注意事项

• 目前，边缘计算节点下的边缘实例、弹性公网IP、NAT网关和云盘资源能够被添加到项目中。
• 如果您没有手动为资源指定项目，资源将默认加入default项目。default项目由系统自动创建。
• 每个资源只能归属于一个项目。
• 只有在一个IAM用户被授予了项目的权限后，该IAM用户才能查看或操作该项目下的资源。
• 不同项目的操作权限是隔离的。如果一个用户需要将项目A下的资源关联到项目B下的资源，那么该用户须具备全局的操作权限。

基于项目管理资源

步骤一：将资源移入项目

以下内容介绍如何将资源移入到项目。

1. 登录IAM控制台。
2. 在左侧导航栏中，选择资源管理 > 项目。
3. 新建一个项目。
   1. 在项目页面，单击新建项目。
   2. 在新建项目对话框中，设置项目名。
   3. （可选）根据需要设置显示名称和备注。
   4. 单击确定。
      完成以上操作后，您可以在项目列表查看新建的项目。
4. 在项目列表找到您的项目，单击项目名称。
5. 在项目详情页面，将资源移入到项目。
   1. 在资源页签，单击移入。
   2. 在移入资源面板，将移动方式设置为由其他项目转入，选择源项目，然后选择源项目下的资源。您可以在搜索框中输入资源的ID来快速查找资源或者设置资源类型来筛选出该类型的资源。
   3. 单击确认。

步骤二：为IAM用户授予项目权限

将资源移入到项目后，您便可以按照项目为IAM用户授权。按照项目为IAM用户授权后，您授予IAM用户的权限将只对项目内的资源生效。

您可以通过以下两种方式为IAM用户授予项目权限：

• 方式一：创建IAM用户的过程中，为IAM用户授予项目权限
• 方式二：创建IAM用户后，为IAM用户授予项目权限

以下内容分别介绍这两种方式下的授权操作。

方式一：创建IAM用户的过程中为其授权

在创建IAM用户时，您可以在权限设置步骤中为其授予项目权限。具体操作，请参见创建IAM用户并为其授予权限。
具体的授权配置如下：

1. 选择权限策略。
   边缘计算节点相关的系统预设策略如下表所示。您可以输入“veen”来搜索边缘计算节点相关的系统预设策略。

   系统预设策略	说明	推荐场景
   VeenFullAccess	边缘计算节点的全部管理权限（读写权限）。	允许IAM用户操作边缘计算节点下的资源。
   VeenReadOnlyAccess	边缘计算节点的只读权限。	只允许IAM用户查看边缘计算节点下的资源。

   关于如何选择策略，请参见如何选择系统预设策略。

2. 将作用范围设置为指定项目，然后选择目标项目。

方式二：创建IAM用户后为其授权

1. 登录IAM控制台。
2. 在左侧导航栏中，选择资源管理 > 项目。
3. 在项目列表中，找到您创建的项目，单击项目名称。
4. 在项目详情页面，单击授权页签。
5. 单击添加授权。
6. 在添加授权面板，完成以下设置，然后单击确定。

   1. 选择身份
      您可以为指定的用户、用户组、角色授予项目权限。

   2. 选择策略
      边缘计算节点相关的系统预设策略如下表所示。您可以输入“veen”来搜索边缘计算节点相关的系统预设策略。

      系统预设策略	说明	推荐场景
      VeenFullAccess	边缘计算节点的全部管理权限（读写权限）。	允许IAM用户操作边缘计算节点下的资源。
      VeenReadOnlyAccess	边缘计算节点的只读权限。	只允许IAM用户查看边缘计算节点下的资源。

      关于如何选择策略，参见如何选择系统预设策略。

步骤三：使用IAM用户身份查看或操作资源

为IAM用户授予项目权限后，该IAM用户将可以查看或操作该项目下的资源。

1. 使用IAM用户身份登录边缘计算节点控制台。
2. 在页面左上角，选择目标项目。系统将展示该项目内的资源。当IAM用户被授予了项目内资源的管理权限时，该IAM用户可对资源进行操作。