用户身份管理和访问控制(Identity and Access Management,简称IAM)是OOS为用户提供的用户身份与权限管理服务,您可以使用IAM创建、管理用户账号,并对这些账号进行权限分配,方便资源管理。
您只需为您在天翼云账户中的资源付费,无需为IAM单独付费。
注意OOS的IAM能力和天翼云官网的IAM能力不互通。
功能特性
只要您拥有一个天翼云账号,即可拥有IAM功能,天翼云账号管理员可以:
- 创建、管理子用户账号。
- 控制子用户账号内资源具有的操作权限。
- 按需为用户分配不同权限,从而避免与其他用户共享资源使用、访问密钥的使用等,降低账号的信息安全风险。
- 多重身份认证:通过多因素操作认证(MFA),在进行IAM相关操作时,可以使用MFA,为操作增加一份安全保障。
应用场景
用户管理与分权
企业中有不同的员工,各自职责不同,权限不同。有的员工需要进行上传下载文件的操作,有的员工只需要查看统计信息,有的员工只需要查看日志信息。通过IAM,可以为不同的员工分配不同的操作权限。
基本概念
-
根用户 :用户首次创建CTYUN账户时,最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份,此身份称为根用户。
-
IAM用户: IAM用户是OOS中的一个实体,该实体代表使用它与OOS进行交互的人员或应用程序,由CTYUN账户在OOS中创建的用户,也称为子用户。默认情况下,全新的IAM用户没有执行任何操作的权限,新用户无权执行任何OOS操作或访问任何OOS资源。
-
用户组 :用户组是用户的集合,IAM可以将IAM用户添加到对应的用户组,通过对用户组进行授权管理IAM用户,用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组,方便管理。同一个IAM用户可以同时加入多个用户组。
-
访问密钥(AK/SK)
OOS通过访问密钥(AK/SK)认证方式进行认证鉴权,即使用AccessKeyID(AK)/SecretAccessKey(SK)加密的方法来验证某个请求发送者身份。
访问密钥包含两部分:访问密钥 ID(AccessKeyID)和秘密访问密钥(Secret Access Key)。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。
OOS支持使用永久AK/SK鉴权,也支持通过临时AK/SK和securitytoken进行认证鉴权,通过使用临时AK,SK和securitytoken,可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证,降低了帐号泄露带来的安全风险。 -
MFA :多因素认证(Multi-Factor Authentication,简称MFA)是一种简单安全的二次认证方式,为用户增加了一层安全保护。仅子用户支持MFA。
-
授权 :通过给用户组和用户添加策略,用户就能获得策略中定义的权限,这一过程称为授权。
-
策略 :策略是以JSON格式描述权限信息的集合,可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略:
- 系统策略:OOS预先创建好的策略,用户可以根据自身需求,直接引用。对于系统策略,用户只能使用,不能修改。
- 自定义策略:用户自己创建的策略,用户可以对该类型策略进行修改和删除。
服务限制
IAM中的用户、用户组等有限定的配额。
项目 | 限额 |
---|---|
账户中的IAM用户数量 | 500 |
账户中可存在的自定义策略数量 | 150 |
账户中可存在的组数量 | 30 |
附加到IAM用户的策略数量 | 10 |
账户根用户的访问密钥数量 | 2 |
IAM用户的访问密钥数量 | 2 |
IAM用户可加入的用户组数量 | 10 |
附加到IAM用户的标签数量 | 10 |
附加到IAM组的策略数量 | 10 |