CBS或SIS委托授权失败怎么处理？

CBS或SIS委托授权失败，是因为当前操作的用户子账户权限不足导致，可选择下述一种解决方案处理。

• 使用华为云主账号进行CBS或SIS委托授权。

  华为云主账号默认拥有admin用户组权限，admin用户组是拥有所有操作权限的用户组，已默认包含“Security Administrator”权限，所以不会出现因为权限不足而导致CBS或SIS委托授权失败的问题。

• 给IAM用户授予“Security Administrator”权限。
  操作如下所示：

  1. 创建用户组并授权

     使用华为云主账号登录IAM控制台，创建用户组并授予“Security Administrator”权限。

  2. 将IAM用户加入用户组

     使用华为云主账号登录IAM控制台，找到IAM用户，并将其加入1中创建的用户组。

• 仅给IAM用户授予委托操作相关的最小权限。
  操作如下所示：

  1. 使用华为云主账号登录IAM控制台。
  2. 在左侧导航栏中，选择“权限管理 > 权限”。
  3. 单击界面右上角的“创建自定义策略”，进入“创建自定义策略”页面，如图1所示。
     输入策略名称，示例“policyvna218”。

     图1 创建自定义策略
     
  4. 单击“策略内容”右侧的“云服务”页签，选择“统一身份认证服务 (IAM)”服务。
  5. 单击“策略内容”右侧的“操作”页签，勾选下述策略，效果如图2所示。
     • iam:agencies:updateAgency
     • iam:permissions:checkRoleForAgencyOnProject
     • iam:agencies:deleteAgency
     • iam:agencies:listAgencies
     • iam:permissions:revokeRoleFromAgencyOnProject
     • iam:agencies:getAgency
     • iam:agencies:createAgency
     • iam:permissions:grantRoleToAgencyOnProject
       图2 策略内容
       
  6. 无需设置“策略内容”右侧的“所有资源”和“请求条件（可选）”，单击“确定”。

     权限界面会新增一行权限“policyvna218”。

  7. 在左侧导航栏中，选择“用户组”。
  8. 找到需要授权的IAM用户所在用户组，单击右侧的“授权”，进入“授权”页面，如图3所示。
     图3 授权
     
  9. 勾选新增的权限“policyvna218”，依次单击“下一步 > 确定”，为当前用户组授予委托操作需要的最小权限。