前提条件 需要创建两个委托，并为两个委托进行相关的DMS和 IAM 细粒度授权。需要创建的委托如下： 委托方给被委托方创建委托账号，用途：在console页面创建数据转储获取委托方的项目列表、DMS实例列表、Topic列表使用。以下简称“DMS资源查询委托”。 委托方给 CES 的op_svc_ces创建委托，用途：将被委托方的指标数据转储到委托方DMS实例中，以下简称“CES账号委托”。 委托方是指拥有DMS资源的账号，被委托方是指拥有待转储的指标数据的账号。

被委托方需要的权限 被委托方如果是主账号，无需配置权限，被委托方子账号需要拥有数据转储相关的权限。 项目级权限如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ces:quotas:get", "ces:dataShareJob:get", "ces:dataShareTask:delete", "ces:dataShareJob:action", "ces:dataShareTask:list", "ces:namespaces:list", "ces:sysEventsNames:list", "ces:dataShareTask:get", "ces:dataShareTask:action", "ces:dataShareJob:list", "ces:dataShareTask:put", "ces:dataShareTask:create", "ces:dataShareJob:action", "ces:dataShareJob:delete", "ces:dataShareJob:create", "dms:instance:list", "dms:instance:get", "ces:dataShareJob:listDmsInstancesByAgency", "ces:dataShareJob:listAgencyProjects", "ces:dataShareJob:listDmsTopicsByAgency", "ces:agency:get", "ces:agency:post", "ces:namespacesDimensions:list", "mqs:instance:list", "mqs:instance:get", "ces:i18n:list" ] } ]} 此外，还需要拥有查询操作IAM委托权限（全局级权限），来保障转储任务能正常创建和运行，权限如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:agencies:assume", "iam:agencies:createAgency", "iam:agencies:listAgencies", "iam:permissions:grantRoleToAgency", "iam:permissions:grantRoleToAgencyOnProject", "iam:permissions:listRolesForAgency", "iam:permissions:listRolesForAgencyOnDomain", "iam:permissions:listRolesForAgencyOnProject", "iam:permissions:revokeRoleFromAgency", "iam:roles:createRole", "iam:roles:listRoles", "iam:roles:updateRole" ] } ]} 项目级权限和全局级权限创建请参考创建自定义权限策略。

创建CES账号委托 操作步骤请参考IAM服务的创建委托。 按照创建委托的方法分别创建DMS资源查询委托和CES账号委托。在创建过程中，需要将“委托的账号“参数填写正确。如图1所示。 创建CES账号的委托时，“委托名称”必须是CloudServiceAgency2CESAutoConfig，填写的“委托的账号“参数必须是“op_svc_ces “且是小写字母。 如果已经存在CloudServiceAgency2CESAutoConfig委托，则可跳过该步骤。 图1 创建委托 完成以上两个委托后，需要给委托添加授权信息。

DMS委托授权 委托方给被委托方授权DMS的相关细粒度权限具体操作步骤如下，委托方给CES账号委托授权DMS的细粒度权限操作步骤一致： 在 统一身份认证 服务页面单击委托，单击被委托方账号操作列的“授权”按钮，进入选择策略页面。 图2 授权 在选择策略页面，单击击右上角“新建策略”，进入新建策略页面。 图3 新建策略 在新建策略页面，输入策略名称，策略内容点击“云服务”在搜索框输入“分布式消息”或“DMS”，搜索出来后点击“分布式消息服务(DMS)”。 图4 选择服务 在“操作”中搜索并选择“dms:instance:get”和“dms:instance:list”。 图5 选择操作 点击下一步选中创建的策略策略名。 图6 选择策略 点击“确定”，完成被委托方账号委托的细粒授权。