《大话华为云OBS+IAM权限控制》连载 (十一)：“分配委托权限”本质是实现对受委托权限子集的再次下放

       我们已经知晓，IAM委托是由企业A的IAM管理员创建的，当被委托对象是企业账号B时，可类比为“企业老板之间的委托关系”，我们将这个IAM委托称为原始委托。

但是被委托方老板B通常自己是不直接干活的，所以他需要创建一个新的IAM权限，把通过原始委托获得的权限下放给手下“干活的人”（B自己手下的IAM用户组）或“干活的物”（B自己订购的云服务资源）——这个新的IAM权限就是所谓的“分配委托权限”。

分配委托权限的本质就是老板B把自己从老板A那里拿到的委托权限，部分或者全部地分给自己手下的人或物，让它们能够代表B老板自己，访问老板A授权的云服务资源。

对于下放委托权限给“干活的物（B自己订购的云服务资源）”这种场景，因为给云服务授权只能通过委托的形式，所以需要再创建一个“二次委托”，并对这个二次的委托授予“分配委托权限”。

分配委托权限的样板如下图所示，可参见官方文档：