使用子账号访问证书中心

如果您的组织有人员需要访问证书中心，我们不建议您分享您的火山引擎账号，这样会过度授权并使账号面临泄露的风险。作为一项最佳实践，您可以为相关人员创建一个子用户账号并授予有限的访问权限。相关人员可以使用子用户账号访问证书中心。本文为您介绍配置子用户账号的方法。

背景信息

您在火山引擎注册的账号是主用户账号（简称“主账号”）。主账号具有您在火山引擎上所有资源的访问权限。由于主账号的权限过大，我们不建议您在组织内共享主账号。

如果您的组织内有人员需要访问火山引擎上的特定资源，您可以通过访问控制创建子用户并为子用户授予部分资源的访问权限。这样，您只需将子用户账号（简称“子账号”）分配给对应人员，即可实现对人员在火山引擎上的访问权限的管控。

访问控制 IAM（Identity and Access Management）是火山引擎提供的身份与访问管理服务。下文将为您介绍如何通过访问控制创建一个子用户、为子用户授予证书中心的访问权限，并使用该子用户账号访问证书中心。

创建子用户

1. （使用主账号）登录火山引擎访问控制控制台。

2. 在左侧导航栏，选择 身份管理 > 用户。

3. 单击 新建用户。

4. 单击 通过用户名创建。

5. 完成配置向导。

配置向导说明

您可以参照以下说明，完成 通过用户名创建 配置向导：

1. 基本信息设置。

   1. 为子用户设置一个 用户名，及其他选填信息。

      单击 添加用户，可以添加多个子用户。一次最多允许创建 10 个子用户。

   2. 在 登录设置 区域，选中 控制台访问，并为子用户设置访问火山引擎控制台的访问密码。

      您也可以视需选择 编程访问，即为子用户生成 Access Key，允许其调用 API 访问火山引擎。

   3. 单击 下一步。

   

2. 权限设置。

   1. 在 添加权限策略 标签页，您可以输入关键词 “ssl” 来搜索与证书中心相关的系统预设策略，根据需要将策略授权给子用户。系统预设策略表示火山引擎内置的一组权限的集合。不同产品有对应的系统预设策略。

      证书中心提供的系统预设策略如下表所示。

      系统预设策略	说明	推荐场景
      SSLFullAccess	SSL 证书的全部管理权限（读写权限）。	允许子用户使用 SSL 证书的全部功能，如购买证书、申请证书、下载证书、部署证书等。
      SSLReadOnly	SSL 证书的只读管理权限。	只允许子用户查看证书列表、证书详情等。

   2. 选择 作用范围 为 全局。

      项目是火山引擎用来对不同产品下的资源进行分组管理的一项功能。证书中心下的资源目前不支持按照项目管理。

   3. 单击 下一步。
      

3. 审阅。

   1. 确认子用户的 基本信息 和 权限设置，单击 提交。

   2. 完成手机验证。

子用户创建成功后，您可以在用户列表查看所有子用户。

使用子用户账号访问证书中心

子用户可以使用以下两种方式访问证书中心控制台：

• 访问特定的登录链接，提供子用户的账号名和密码

  您可以在访问控制控制台的 用户 页面上方获取子用户的专用登录链接（如下图所示）。
  

子用户访问专用登录链接后，只需提供子用户的账号名和密码（如下图所示）即可登录到火山引擎控制台。

• 访问通用的登录链接，并选择 IAM 用户登录 方式（下图左侧所示）。

  子用户使用该方式登录时，需要提供主用户的账号名、子用户的账号名和密码（如下图右侧所示）。
  

子用户登录成功后，即可前往 证书中心控制台 访问证书中心。子用户可以在证书中心控制台查看、管理 SSL 证书。子用户可执行的操作取决于您在创建子用户时为其分配的权限。
如果需要调整子用户的权限，请您登录主账号，并前往 访问控制控制台 的 用户 页面进行操作。