本文解释了IAM的基本概念,帮助您正确理解和使用IAM。
身份管理相关概念
紫光云账号(主账号,account)
开始使用紫光云服务前,首先需要注册一个紫光云账号。紫光云账号是紫光云资源归属、资源使用计量计费的基本主体。紫光云账号为其名下所拥有的资源付费,并对其名下的所有资源拥有完全控制权限。
缺省情况下,资源只能被紫光云账号所访问,任何其他用户访问都需要获得紫光云账号的显示授权。紫光云账号就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。
身份(Identity)
紫光云支持IAM用户、用户组两种身份。
IAM用户(IAM user)
IAM用户是指由开通紫光云业务的账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据紫光云账号授予的权限来使用资源。
IAM用户隶属于紫光云账号,属于紫光云账号的下一个层级,其只能拥有紫光云账号授予的资源使用权限。紫光云账号可以随时修改或者撤销IAM用户的使用权限。
IAM用户进行资源操作时产生的费用统一计入上一层级的紫光云业务中。系统不对IAM用户出账,IAM用户不需要为资源付费,由所属的紫光云账号统一进行计费。
IAM用户是IAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。
一个紫光云账号下可以创建多个IAM用户,对应企业的员工、系统或应用程序。
IAM用户不拥有资源,不能独立计量计费,由所属紫光云账号统一控制和付费。
IAM用户归属于紫光云账号,只能在所属紫光云账号的空间下可见,而不是独立的紫光云账号。
IAM用户必须在获得紫光云账号的授权后才能登录控制台或使用API操作紫光云账号下的资源。
紫光云账号与IAM用户的关系如下图所示。
IAM用户组(IAM user group)
用户组是IAM的一种实体身份类型,用户组可以对职责相同的IAM用户进行分类并授权,从而更好的管理用户及其权限。
紫光云账号与IAM用户、IAM用户组的关系如下图所示。
登录密码(Password)
登录密码是登录紫光云的身份凭证,用于证明用户真实身份的凭证。 请妥善保管您的登录密码并定时更换。
访问密钥(AccessKey)
访问密钥指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。您可以使用访问密钥创建一个API请求,IAM通过AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份,身份验证成功后将可以操作相关资源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于标识用户,AccessKey Secret用于加密签名字符和IAM用来验证签名字符串的密钥。
访问控制相关概念
权限(Permission)
权限是指是否允许用户对某种资源执行某种操作,权限分为:允许(Allow)或拒绝(Deny)。操作分为两大类:
权限策略(Policy)
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集以及授权条件。
在IAM中,权限策略是一种资源实体,IAM目前仅支持系统策略。系统策略由紫光云统一创建,用户只能使用不能修改,策略的版本更新由紫光云维护。
被授权主体(Principal)
获得策略中定义的权限主体,被授权主体可以为IAM用户、用户组。
项目
可以将相关的资源(如具有相同使用用途的资源)划分到同一个项目中,然后以项目为单位进行授权,使得用户仅能访问特定项目中的资源,精确控制资源的访问权限。
效力(Effect)
权限策略基本元素之一,表示授权效力。取值为:允许(Allow)或拒绝(Deny)。
操作(Action)
权限策略基本元素之一,表示对具体资源的操作。取值为:云服务所定义的API操作名称。
限制条件(Condition)
权限策略基本元素之一,表示授权生效的限制条件。
资源(Resource)
资源是云服务呈现给用户与之交互的对象实体的一种抽象,例如:OSS存储空间或ECS实例等。
代维管理相关概念
代维管理
授予其他紫光云账号资源访问权限,让该账号管理被授权账号中的资源。
创建代维授权
被代维账号创建授权的过程。
添加代维
代维方确认接受代维的过程。
