账号
当您首次使用天翼云时注册的帐号,该帐号是您的天翼云资源归属以及计费的主体。账号对其所拥有的云服务资源具有完全的访问权限,也可以重置用户密码、分配子用户权限。
帐号不能在IAM中修改和删除,您可以在天翼云网门户“个人中心”修改帐号信息,如果您需要删除帐号,可以在“个人中心”进行注销。
IAM用户
由帐号在IAM中创建的用户,一般为具体云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据帐号授予的权限使用资源。
帐号与IAM用户的关系
帐号与IAM用户可以类比为父子关系,帐号是资源归属以及计费主体,对其拥有的资源具有所有权限。IAM用户由帐号创建,只能拥有帐号授予的资源使用权限,帐号可以随时修改或者撤销IAM用户的使用权限。IAM用户进行资源操作时产生的费用统一计入帐号中,IAM用户不需要为资源付费。
用户组
用户组是用户的集合,IAM通过用户组功能实现对用户的快速授权。您创建的IAM用户,在加入已授权的用户组后,会继承用户组的权限,并且能够根据权限访问您帐号中的云服务资源。当某个用户加入多个用户组时,此用户同时拥有所有已加入用户组的权限。
“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云服务资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
授权
授权是您将用户完成具体工作需要的权限授予用户,授权通过定义策略和最小授权范围生效,通过给用户组授予策略和设置授权范围,用户组中的用户就能在授权范围内获得策略中定义的权限,这一过程称为授权。用户获得具体云服务的权限后,可以对云服务进行操作,例如,管理您帐号中的弹性云主机资源。
权限
如果您只授予IAM用户弹性云主机的资源列表查看权限,则该IAM用户除了查看弹性云主机的资源列表,不能访问其他任何服务和执行弹性云主机的其他操作,在不具备权限时执行操作,系统将会提示没有权限。
策略
策略是IAM提供的细粒度权限集合,可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对弹性云主机服务,管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。
策略包含系统策略和自定义策略两种。
系统策略
云服务在IAM预置的常用权限集合,称为系统策略。管理员给用户组授权时,可以直接使用这些系统策略,系统策略只能使用,不能修改和删除。如果管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的系统策略,这是因为该服务暂时不支持IAM,管理员可通过天翼云网门户给对应云服务提交工单,申请该服务接入IAM并预置权限。
自定义策略
如果系统策略无法满足授权要求,管理员可以根据各服务支持的权限,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。您可以通过可视化和JSON视图完成自定义策略的配置。
委托
委托根据委托对象的不同,分为委托其他天翼云帐号和委托其他云服务。
委托其他天翼云帐号:通过委托功能,您可以将自己帐号中的资源操作权限委托给其他天翼云帐号,被委托的帐号可以根据权限代替您进行资源运维和管理工作。
委托其他云服务:由于天翼云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,在使用时会需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维的自动化工作。
身份凭证
身份凭证是识别用户身份的依据,您通过控制台或者API访问天翼云时,需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥,您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。
密码
常见的身份凭证,密码可以用来登录控制台。您不能在IAM中管理自己账号的密码,请在天翼云网门户“个人中心”修改自己的密码。
访问密钥
即AK/SK(Access Key ID/Secret Access Key),调用天翼云API接口的身份凭证,不能登录控制台。访问密钥中具有验证身份的签名,通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。