【产品技术】CCM权限讲解篇

场景：针对需要创建独立的IAM用户进行权限管理。如果不需要独立的IAM权限管理，并不影响CCM服务其他功能的使用。

私有证书管理服务（Private Certificate Authority，PCA）支持用户建立完整的CA层次体系，包括根及多级中间CA等，为用户提供高可用高安全的私有CA托管能力，用户无需花费高昂费用建设及维护自己本地的CA基础设施。同时，支持租户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。

如果需要对华为云上购买的云证书管理服务（CCM）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。

通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云证书管理服务（CCM）的使用权限，但是不希望他们拥有删除CCM等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCM，但是不允许删除CCM的权限策略，控制他们对华为云资源的使用范围。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，只需要为账号中的资源进行付费。

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

CCM部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCM时，不需要切换区域。

如下表所示，包括了CCM下私有证书管理服务PCA的所有系统角色。由于华为云各服务之间存在业务交互关系，云证书管理服务的角色依赖其他服务的角色实现功能。因此给用户授予云证书管理服务的角色时，需要同时授予依赖的角色，云证书管理服务的权限才能生效。