> ## Documentation Index
> Fetch the complete documentation index at: https://docs.coze.cn/llms.txt
> Use this file to discover all available pages before exploring further.

购买了企业版套餐后，超级管理员或管理员可以在企业中添加成员，共享企业中的高级权益与海量资源。如果同时希望成员具备火山引擎的操作权限（如操作火山扣子控制台、火山方舟控制台等），可在创建成员时开启允许访问火山引擎的功能，系统将为该成员创建同名的 IAM 用户，用于登录及操作火山引擎控制台。该用户默认拥有火山扣子控制台的只读权限（CozeReadOnlyAccess）。本文介绍如何为成员添加 IAM 权限，以操作火山引擎控制台。
团队版成员在扣子侧创建，没有火山引擎账号与权限，不适用本文的火山 IAM 授权流程。
## 权限策略 {#90b4bbb6}
策略是访问控制 IAM 描述能力的一种方式，IAM 用户可以关联以下两种权限策略：

* **系统预设策略**：统一由火山引擎创建，你只能使用不能修改，策略的版本更新由火山引擎维护。
* **用户自定义策略**：如果系统预设策略无法满足你的授权需求，你可以新建自定义策略，策略的版本更新由你自己维护。详情请参考[新建自定义策略](https://www.volcengine.com/docs/6257/1158323)。

下表为你提供扣子和火山方舟的系统预设策略，你可以直接为 IAM 用户授权。
<!-- @cols-width: 119,181,559 -->
| | | | \
|**策略类别** |**策略名** |**描述** |
|---|---|---|
| | | | \
|扣子 |CozeReadOnlyAccess |扣子控制台的只读访问权限。 |
|^^| | | \
| |CozeFullAccess |扣子控制台的全部管理权限。 |
| | | | \
|火山方舟 |ArkFullAccess |火山方舟（Ark）管理员用户，拥有所有 Ark 服务的权限，适合算法、研发等角色，可查看和配置方舟内全部资源。 |
|^^| | | \
| |ArkReadOnlyAccess |\
| | |火山方舟（Ark）只读用户，拥有 Ark 服务的只读权限，适合产品、运营等角色，可查看方舟内全部资源。 |
|^^| | | \
| |ArkLabelAccess |火山方舟（Ark）标注用户，拥有标准模块的所有权限，适合运营、标注等角色，可查看和配置方舟内标注资源，配置模型接入和模型仓库资源。 |
|^^| | | \
| |ArkStandardGlobalAccess |火山方舟（Ark）标准全局权限，拥有读接口权限、火山方舟自动创建的TOS桶读权限、公开基础模型的读权限和创建各类关联资源的权限，适合只有项目权限的用户。 |
|^^| | | \
| |ArkExperienceAccess |火山方舟（Ark）体验权限用户，拥有体验中心的所有权限，适合运营、测试等角色，可查看和体验方舟在模型广场的模型。 |

## 前提条件 {#40285897}
开始前，请确保完成以下操作：

* 已创建成员，并开启允许访问火山引擎。详情请参考[步骤一：创建成员](/guides/create_member#895f1618)。
* 已获取与扣成员关联的 IAM 用户的用户名。
   你可以在扣子控制台的**成员列表**区域，将鼠标悬停在成员对应的**允许**上，查看与其关联的 IAM 用户的用户名。
   ![Image=2424x454](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/677637bf4b9c462b898504c8e8290b32~tplv-goo7wpa0wc-image.image)

## 操作步骤 {#76f08ef6}
你可以直接为 IAM 用户授权，或将 IAM 用户添加进用户组，用户组中的成员将继承用户组的权限。
### 直接为成员授权 {#c9742298}
你可以直接为单个扣成员授权。操作步骤如下：

1. 主账号登录[访问控制控制台](https://console.volcengine.com/iam/identitymanage/user)。
2. 在左侧导航栏，选择**用户管理** > **用户**。
3. 在**用户**页面，找到目标 IAM 用户，单击其用户名。
4. 在**用户详情**页面的**权限**页签下，单击**添加权限**。
5. 在**添加授权**页面，搜素并选择目标权限。
   扣子和火山方舟的常用权限可参考[权限策略](/guides/set_pro_subusers#90b4bbb6)。
6. 单击**确定**。

完成授权后，权限立即生效，你可以使用授权的成员登录火山引擎控制台，进行相关的操作。
### 通过加入用户组为成员授权 {#703a0ef8}
你可以创建用户组并向用户组授权，再将成员添加进用户组，用户组中的成员将继承用户组的权限。
操作步骤如下：

1. 登录[访问控制控制台](https://console.volcengine.com/iam/identitymanage/user)。
2. 创建用户组并授权。
   1. 在左侧导航栏，选择**用户管理** > **用户组**。
   2. 在**用户组**页面，单击**新建用户组**。
   3. 输入用户组名、显示名和备注，然后单击**提交**。
   4. 单击**立即授权**，根据业务需求授权。
      扣子和火山方舟的常用权限可参考[权限策略](/guides/set_pro_subusers#90b4bbb6)。
   5. 单击**确定**。
3. 将成员添加进用户组。
   1. 在左侧导航栏，选择**用户管理** > **用户**。
   2. 在**用户**页面，找到目标 IAM 用户，单击其用户名。
      你可以在扣子控制台的**成员管理**页面查看 IAM 用户的用户名为 `{ 成员的用户名 } + @CloudIdentitySaas` 组成。例如，成员的用户名为 `test_name`，则关联的 IAM 用户的用户名为`test_name@CloudIdentitySaas`。
   3. 在**用户详情**页面，单击**用户组**页签。
   4. 单击**添加至组**，选择目标用户组。
   5. 单击**确定**。

授权完成后，权限立即生效。你可以使用授权的成员登录火山引擎控制台，进行相关的操作。
## **授权示例：为成员添加火山方舟只读权限** {#fdadcdea}
本示例介绍如何为成员添加火山方舟只读权限`ArkReadOnlyAccess`，添加完成后，扣子成员即可在火山方舟控制台查看全部资源。
操作步骤如下：

1. 登录[访问控制控制台](https://console.volcengine.com/iam/identitymanage/user)。
2. 在左侧导航栏，选择**用户管理** > **用户**。
3. 在**用户**页面，找到目标 IAM 用户，单击其用户名。
4. 在**用户详情**页面，单击**权限**页签。
5. 在**全局权限**下，单击**添加权限**。
6. 搜索并勾选`ArkReadOnlyAccess`，然后单击**确定**。
   ![Image=563x337](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/0c2545ecd5a74956bbf2357d421c8cc5~tplv-goo7wpa0wc-image.image)

授权完成后，成员即可查看火山方舟控制台的全部资源，例如查看方舟模型调用量统计。
![Image=583x281](https://p9-arcosite.byteimg.com/tos-cn-i-goo7wpa0wc/0cbcf14a31b04c4fb26a3a184a77109c~tplv-goo7wpa0wc-image.image)