最近更新时间:2023-11-16 19:10:44
本文解释了IAM的基本概念,帮助您正确理解和使用IAM。
概念 | 说明 |
---|---|
主账号 | 开始使用金山云服务前,首先需要注册一个主账号,该帐号是您的金山云资源归属、资源使用计费计量的基本主体。主账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。 1. 个人认证:同一个证件信息默认仅支持一个金山云主账号认证。 2.企业认证:同一个企业主体,支持多个主账号同时认证。也就是说同一个企业主体下可以拥有多个UID不同的主账号。 3. 默认情况下,资源只能被主账号所访问,任何其他用户访问都需要获得主账号的授权。可以创建子用户并为子用户设置权限。 |
子用户 | 子用户是IAM的一种实体身份类型,有确定的身份ID和身份凭证。 1. 一个主账号下可以创建多个子用户,对应企业内的员工、系统或应用程序。 2. 子用户不拥有资源,不能独立计量计费,由所属主账号统一控制和付费。 3. 子用户归属于主账号,只能在所属主账号的空间下可见,而不是独立的主账号。 4. 子用户必须在获得主账号的授权后才能登录控制台或使用API访问操作主账号下的资源。 |
用户组 | 用户组是多个相同职能的子用户的集合,客户可以根据业务需求创建不同的用户组。 1.创建用户组,为用户组关联权限策略,把子用户加入到用户组,实现为多个不同的子用户分配相同的权限。 2. 在子用户权限发生变化时,只需将其移动到相应权限的用户组下,不会对其他子用户产生影响。 2. 当用户组的权限发生变化时,只需修改用户组的权限策略,即可应用到所有子用户。 |
角色 | 角色:角色有确定的身份,可以被赋予一组权限策略,但没有确定的登录密码或访问密钥。角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。 根据IAM的可信实体不同,IAM支持以下3种类型的角色: 1. 金山云账号:允许金山云账号和其子用户所扮演的角色。扮演角色的子用户可以属于自己的金山云主账号,也可以属于其他金山云主账号。此类角色主要用来解决跨账号访问和临时授权问题。 2. 金山云服务:允许云服务扮演的角色,该类角色主要用于解决跨云服务授权访问的问题。 3. 身份提供商:允许受信身份提供商下的用户所扮演的角色。此类角色主要用于实现与金山云的单点登录(SSO)。 |
访问密钥 | 由AccessKeyID和SecretAccessKey组成, 是调用金山云API接口的身份凭证,不能登录控制台。 AccessKeyID用于标识用户,SecretAccessKey用于验证用户的密钥。 |
SSO | 金山云支持基于SAML 2.0的SSO(Single Sign On,单点登录),也称为身份联合登录。 金山云支持两种 SSO 登录方式: 1. 通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行金山云和企业IdP间的用户同步,企业员工将使用指定的角色来登录金山云。 2. 通过用户SSO,企业员工在登录后,将以子用户身份访问金山云。 |
多因素身份验证 | 多因素认证是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护。这些要素结合起来将为您的账号提供更高的安全保护。启用多因素认证后,再次登录金山云时,系统将要求输入两层安全要素: 1. 第一层安全要素:用户名和密码 2. 第二层安全要素:多因素认证 (1)MFA:金山云小助手小程序验证码验证 (2)邮箱:绑定邮箱验证 (3)手机号:绑定手机号验证 |
概念 | 说明 |
---|---|
权限 | 权限对应的范围包含两个方面:(1)是否允许用户对资源的访问操作管理权限(2)是否允许用户对控制台功能的操作管理权限。权限分为:允许(Allow)或拒绝(Deny)。 |
权限策略 | 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。访问控制支持以下两种权限策略: 系统策略:统一由金山云创建,用户只能使用不能修改,策略的版本更新由金山云维护。 自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。 |
授权主体 | 获得策略中定义的权限主体,授权主体可以为子用户、用户组或角色。 |
效果 | 权限策略基本元素之一,表示授权效果。取值为:允许(Allow)或拒绝(Deny)。 |
操作 | 权限策略基本元素之一,表示对具体资源的操作。 |
条件 | 权限策略基本元素之一,表示授权生效的条件。 |
资源 | 资源是金山云的客户操作或者使用云服务的对象实体,比如云服务器实例、EIP实例等 。 |
纯净模式