您在MSAP上托管的应用可能包含多个服务或子系统，这些服务或子系统又可能由不同团队、成员进行开发、运维。MSAP通过接入IAM能力，提供企业级的权限管理系统，帮助您对应用、资源和数据进行必要的隔离和权限控制，以保证其安全性。

为了方便您在IAM控制台方便使用MSAP相关策略，我们提供四套系统策略，分别为：

策略名称	描述
Msap System Admin	微服务应用平台msap-CTIAM默认系统管理员(已内置CCSE admin权限)策略
Msap Developer	微服务应用平台msap-CTIAM默认开发人员(已内置CCSE user权限)策略
Msap Tester	微服务应用平台msap-CTIAM默认测试人员(已内置CCSE user权限)策略
Msap Opser	微服务应用平台msap-CTIAM默认运维人员(已内置CCSE user权限)策略

主账号（租户管理员）负责添加系统管理员或管控全局之类的工作。

项目启动阶段：系统管理员负责初始化的一些工作。

1.如需另外新建项目，填写对应的项目名称，项目代号，项目描述(可选)即可。

2.新建环境信息，请参考环境管理3.6.1。

3.添加子账号，并分配对应的msap策略。

4.新建应用，请参考应用管理3.5.1

除此之外，系统管理员还需要添加服务连接管理凭证，流水线编译所使用的Maven设置，以及查看审计日志等安全工作。

开发阶段：

开发人员，顾名思义就是专门用于开发人员使用，这些用户使用项目管理员创建好的项目、环境，以及分配的数据权限，快速进行MSAP应用部署，他们不需要关心底层所依赖的环境信息，可以自由创建应用，流水线等流程。

1.创建应用，请参考3.5.1应用管理

2.创建流水线，请参考3.5.2流水线

测试阶段：

对比于开发人员，测试人员比其少了应用管理的操作权限，只具有查看权限。因为测试人员只需要负责对提测的应用进行测试，而不需要自己去创建应用之类的操作，最多就是需要自己去创建各种类型的流水线（3.5.2流水线），进行编译部署等测试操作。

运维阶段：

运维人员更多是做一些排查错误，性能监控的工作，对底层代码关注甚少。

总结一下四种策略分配场景：

1.负责项目，环境等初始化，而且用户需要一定的管理权限，请分配系统管理员策略。

2.如果只是每天查看下运行日志，负责每天的运维工作，或者简执行部署现有的流水线之类的工作，请分配运维人员策略。

3.如果用户不关心应用底层，只需要编辑部署等测试性能，请分配测试人员策略。

4.开发人员，除了不具备管理权限外，具备其他所有权限，适合具备一定开发能力的用户。

如需自定义MSAP用户策略，MSAP提供权限助手功能方便用户快速创建，创建完成后拷贝策略直接在IAM控制台创建即可。如图所以：

第一步：填写策略基本信息：

第二步，新增权限语句

权限效力分为允许和拒绝。

其中项目管理、环境管理、应用管理除了管理对应的功能权限外，还分别管理MSAP系统中项目、环境和应用的数据权限，其他权限码则是管理页面功能权限。通过勾选对应的权限码即可生成目标策略，如图所示：

预览策略，如图所示：

最后点击保存即可。

通过查看详情复制目标策略在IAM控制台创建策略并授权给对应子账号，如图所示：

注意：为了保持权限数据的一致性，建议您始终在这里对MSAP的权限策略进行操作，而不是直接在IAM系统中修改

微服务云应用平台