华为云UCS在统一身份认证服务（IAM）能力基础上，为用户提供细粒度的权限管理功能，帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限，结合权限策略和舰队设计，可实现企业不同部门或项目之间的权限隔离。

UCS权限管理是在IAM与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制，这两种权限针对的是不同类型的资源，在授权机制上也存在一些差异，具体如下：

UCS服务资源权限：是基于IAM系统策略的授权。UCS服务资源包括容器舰队、集群、联邦实例等等，管理员可以针对用户的角色（如开发、运维）进行差异化授权，精细控制他们对UCS资源的使用范围。

集群中Kubernetes资源权限：是基于Kubernetes RBAC能力的授权，可授予针对集群内Kubernetes资源对象的细化权限，通过权限设置可以让不同的用户有操作不同Kubernetes资源对象（如工作负载、任务、服务等Kubernetes原生资源）的权限。

新建IAM用户的权限管理流程如下图所示：

假设A公司在华为云使用UCS服务管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理，可以实现精细化授权的目标。

1. 行管团队：负责管理公司所有资源的团队。
2. 开发团队：负责业务开发的团队。
3. 运维团队：负责查看并监控所有资源使用情况的团队。
4. 访客：预留的只读权限团队，指那些仅具有查看资源权限的人员。

公司不同的职能团队针对UCS资源的操作范围如下所示：

1：由Tenant Administrator角色的管理员为各个职能团队授权。

2、3、4、5、6、7、8：拥有UCS FullAccess权限的行管团队负责创建舰队、注册集群、将集群加入舰队，以及开通集群联邦能力，搭建多集群联邦基础设施。同时，行管团队创建权限，并将权限关联至舰队或未加入舰队的集群，使开发团队对具体的Kubernetes资源拥有相应的操作权限。

9、10：拥有UCS CommonOperations权限的开发团队执行创建工作负载、流量分发等操作。

11：拥有UCS CIAOperations权限的运维团队执行监控运维等操作。

12：拥有UCS ReadOnlyAccess权限的访客进行集群、舰队、工作负载等资源的查看操作。