随着腾讯云用户资源数量的增加，用户管理资源的难度也随之增加。为方便用户更快速有效地查询和管理各种资源，腾讯云推出标签这一产品。腾讯云主机 CVM 目前也已经接入标签的功能，且相应的 CAM 能力也已经支持。本文将模拟实际用户场景来做一个实践分享。

场景介绍

1、某公司目前已经全量迁移上腾讯云，涉及公司多个业务，而不同业务分属不同管理员进行管理。

2、该公司希望，不同业务的管理员只能管理其业务的云服务器，而没有权限管理其他业务的服务器。

实现介绍

1、按照业务创建多个子账号，或者添加多个协作者账号，例如子账号A。

2、用标签给云服务器做好区分，例如，业务A的服务器的标签为A。

3、结合 CAM，新建权限策略，该策略为允许某人管理标签为A的服务器。

下面将是操作步骤的演示。

创建账号

当前腾讯云支持4中用户类型，分别是协作者、消息接收人、子用户以及从企业微信创建子用户。用得较多的则是子用户和协作者，故本文演示也采用了子用户和协作者这两种账号。

3、继续添加标签，比如一个客户不仅有ERP业务，还有OA业务，同样也有WEB服务器和文件服务器。

至此，本次演示所需的标签已经打完了。也可以在筛选框以标签的维度进行筛选，示例如下：

新建策略并绑定账号

1、登录策略管理控制台，新建自定义策略，选择【按标签授权】。

3、检查并完成。

同理，再新建第二条策略，是给melody111这个用户授权的，只能管理OA业务的文件服务器。

最终完成的两条策略如下：

验证效果

分别使用melody_test和melody111登录云主机控制台进行效果验证。

1、由于melod_test是协作者，可像主账号那样正常登录即可。

2、而melody111是子账号，子账号的登录界面是和主账号不一样的。

同样地，如果该子账号要去购买 CVM，在购买页面需要选择网络、镜像、安全组等，依旧会提出没有权限。并且还需要额外的支付权限。

那么，怎么办呢？此时可以找主账号像子账号（或者协作者账号）赋予QcloudVPCFullAccess、

QcloudIMAGEFullAccess、QcloudCVMFinanceAccess、QcloudCVMFinanceAccess、RunInstances。

RunInstances

像创建XXX，删除XXX这种权限呢，操作就稍微复杂一点，本文就以 RunInstances 为例分享相关步骤。

1、【新建自定义策略】— 【按策略生成器创建】

2、选择【云服务器】的Service，以及【RunInstances】的Action

3、资源描述，选择*，然后点击【添加声明】，然后点击【下一步】

4、确认策略内容，没问题就点击【创建策略】完成。注意策略的命名要求。

项目的权限

项目的授权的操作步骤就更为复杂了，下面我也将一步一截图示范一下。

1、【新建自定义策略】— 【按业务创建】

2、选择【项目管理】

3、选择【管理其它业务项目内云资源】，然后点击下一步

4、关联对象

5、选择【按项目选择】

6、选择要关联的项目

7、点击【完成】

8、将策略关联给用户

本次的分享到此结束，希望对大家有帮助，谢谢大家的浏览。