全部文档
当前文档
最近更新时间:2025-06-24 05:21:07
访问控制( Identity and Access Management ,IAM) 是金山云提供的管理用户身份与资源访问权限的基础服务。 可以实现安全且精细化管理金山云云服务和资源的访问。访问控制为免费产品,只要经过实名认证的金山云主账号就可以直接使用。
当您的企业存在多用户协同操作资源的场景时,访问控制可以让您避免与其他用户共享金山云主账号密钥,您可以创建子用户并按需为子用户分配最小权限,从而降低企业的安全风险。
使用访问控制前,您先需要拥有一个金山云主账号,然后您可以在主账号名下创建、管理子用户(例如员工、系统或应用程序),并可以控制这些子用户对资源的访问操作权限,对系统服务的访问操作权限(如账单查询、下载等)。
在主账号名下创建子用户,管理每个子用户的账号信息、登录密码、访问密钥、多因素认证等。
集中管理IAM用户:管理IAM用户的基本信息,登录密码,访问秘钥,多因素认证等;
集中管理IAM用户权限:管理IAM用户访问云资源的权限;
集中管理IAM用户安全访问:提供统一IAM登录设置,保障IAM用户全局安全,密码强度,密码安全设置等。
控制子用户的访问权限,给子用户分配主账号下资源的访问和管理权限。
丰富的权限策略:针对不同的资源,授权给不同的人员不同的访问权限。当前系统支持两种权限策略:
系统策略:IAM提供了多种满足日常运维人员职责所需要的系统权限策略。
自定义策略:如果系统权限策略不能满足您的需求,您还可以创建自定义权限策略。
精细的控制粒度
支持在资源级和操作级给子用户、用户组和角色授予访问权限。
支持根据请求源IP区间、资源范围等条件属性创建更精细的资源访问控制策略。
金山云提供SSO功能,支持用户使用企业身份提供商IdP账号单点登录金山云,无需再创建金山云账号。
目前金山云支持两种SSO登录方式:
场景 | 场景描述 | 企业要求 | 解决方案 |
|---|---|---|---|
子用户管理与授权 | 企业A的某个项目上云,购买了多种金山云资源。其团队成员需要使用资源 ,每个团队成员的职责不同,需要的权限也不同。为了降低企业信息安全风险,企业管理员A不希望共享其云账号的密码/访问密钥给所有需要的员工(等于授权所有操作权限)。 | 企业A有如下要求: | 1. 创建子用户:使用访问控制的子用户管理功能,给员工或应用程序创建子用户。 |
用户组管理与授权 | 企业A的某个项目上云,购买了多种金山云资源现在由企业A内部某个团队的多个员工一同管理云上资源,企业A需为该团队内的成员分配相同的访问管理权限。 | 企业A有如下要求: | 1. 创建用户组:使用访问控制的用户组管理功能,创建用户组。 |
角色管理与授权 | 企业A购买了多种金山云资源来开展业务,例如:KEC实例、RDS实例、SLB实例和KS3存储空间等。企业A希望将部分业务授权给企业B。 | 企业A有如下要求: | 访问控制的角色管理支持授权其他金山云主账号通过角色扮演方式访问控制台。 |
权限策略 | 企业A内部有多个团队,团队内有多个成员,每个成员所管理的资源以及对资源的操作权限不同。 | 企业A有如下要求: | 访问控制支持以下两种权限策略: |
单点登录SSO | 企业A已有自己内部的账号体系,希望企业内成员以这套账号体系管理使用金山云资源,不必在金山云主账号下为每一位组织成员创建子用户身份。 | 企业A有如下要求: | 使用金山云的SSO服务管理企业账号登录。目前金山云提供以下两种 SSO 方式: |
子用户安全设置 | 企业内部多个用户同时管理云上资源时,企业希望通过一些操作或验证来加强用户的账号安全,避免由于盗号带来的企业损失。 | 企业A有如下要求: | 访问管理提供安全设置与多因素认证功能。 |
项目管理与授权 | 企业A有多个项目同时上云,每个项目都会用到多种云资源。企业只有1个金山云主账号,主账号下有上百个实例。 | 企业A希望项目独立管理,每个管理员各自能够独立管理项目人员及其访问权限。 | 使用访问控制和项目管理的功能实现以上诉求: |
完成主账号的注册登录后,您可以通过以下方式使用IAM管理子用户身份与资源访问权限:
访问控制控制台:您可直接登录访问控制控制台完成相关操作。
OpenAPI:您可以使用访问控制提供的OpenAPI接口以编程方式访问。
纯净模式
