术语说明

金山云账号(Account)

当您首使用金山云时，需要注册一个账号， 该帐号是您的金山云资源归属、资源使用计费计量的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。

默认情况下， 资源只能被金山云账号所访问，任何其他用户访问都需要获得金山云账号的显式授权。金山云云账号就是操作系统的root或Administrator，所以我们有时称它为根账号或主账号。

身份(Identity)

访问控制中有三种身份：IAM子用户、用户组、IAM角色。 其中IAM子用户和用户组是IAM的一种实体身份类型，IAM角色是一种虚拟用户身份。 身份可以被被赋予一组权限策略 。

IAM用户(IAM User)

IAM用户是IAM的一种实体身份类型，有确定的身份ID和身份凭证，它通常与某个确定的人或应用程序一一对应。

• 一个金山云账号下可以创建多个IAM用户，对应企业内的员工、系统或应用程序。
• IAM用户不拥有资源，不能独立计量计费，由所属金山云账号统一控制和付费。
• IAM用户归属于金山云账号，只能在所属金山云账号的空间下可见，而不是独立的金山云账号。
• IAM用户必须在获得金山云账号的授权后才能登录控制台或使用API操作金山云账号下的资源。

用户组(IAM Group）

用户组是IAM的一种实体身份类型，用户组可以对职责相同的IAM用户进行分类并授权，从而更好的管理用户及其权限。

• 在IAM用户职责发生变化时，只需将其移动到相应职责的用户组下，不会对其他IAM用户产生影响。
• 当用户组的权限发生变化时，只需修改用户组的权限策略，即可应用到所有IAM用户。

IAM角色(IAM Role ）

IAM角色是一种虚拟用户，与实体用户（IAM子用户、用户组、IAM角色）和教科书式角色（Textbook role）不同。

• 实体用户：拥有确定的登录密码或访问密钥。如IAM子用户。
• 教科书式角色：教科书式角色或传统意义上的角色是指一组权限集合，类似于IAM里的权限策略。如果一个用户被赋予了这种角色，也就意味着该用户被赋予了一组权限，可以访问被授权的资源。
• IAM角色：IAM角色有确定的身份，可以被赋予一组权限策略，但没有确定的登录密码或访问密钥。IAM角色需要被一个受信的实体用户扮演，扮演成功后实体用户将获得IAM角色的安全令牌，使用这个安全令牌就能以角色身份访问被授权的资源。

根据IAM的可信实体不同，IAM支持以下2中类型的角色：

• 金山云账号：允许金山云账号和其IAM用户所扮演的角色。扮演角色的IAM用户可以属于自己的金山云账号，也可以属于其他金山云账号。此类角色主要用来解决跨账号访问和临时授权问题。
• 金山云服务：允许云服务扮演的角色，该类角色主要用于解决跨云服务授权访问的问题。
• 身份提供商：允许受信身份提供商下的用户所扮演的角色。此类角色主要用于实现与金山云的单点登录（SSO）。

实体(Entity）

指一种操作的发出者，金山云目前支持两种实体：金山云账号和IAM子用户。

访问密钥(AccessKey）

由AccessKeyID和SecretAccessKey组成， 是调用金山云API接口的身份凭证，不能登录控制台。 AccessKeyID用于标识用户，SecretAccessKey用于验证用户的密钥。

权限(Permission）

权限是指是否允许用户对某种资源执行某种操作，权限分为：允许（Allow）或拒绝（Deny）。

权限策略(Policy）

权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。

访问控制支持以下两种权限策略：

• 金山云管理的系统策略：统一由金山云创建，用户只能使用不能修改，策略的版本更新由金山云维护。
• 客户管理的自定义策略：用户可以自主创建、更新和删除，策略的版本更新由客户自己维护。

授权

授权是您将用户完成具体工作需要的权限策略授予给对应用户身份（IAM子用户、用户组、IAM角色）。对应用户身份获取到云服务权限后，可以对云服务进行操作。

多因素身份验证(MFA）

多因素认证是一种简单有效的最佳安全实践，在用户名和密码之外再增加一层安全保护。这些要素结合起来将为您的账号提供更高的安全保护。启用多因素认证后，再次登金山云时，系统将要求输入两层安全要素：

1. 第一层安全要素：用户名和密码
2. 第二层安全要素：多因素认证设备生成的验证码

资源（Resource）

资源是金山云的客户操作或者使用云服务的对象实体，比如云服务器实例、EIP实例等 。

金山云资源名称 （KRN）

为方便在策略文档中描述一个资源，我们使用KRN唯一标识一个金山云资源 。格式 形如krn:ksc::::/