最近更新时间:2020-06-16 18:12:45
账号或称主账号是客户在金山云资源归属、资源计量、资源计费的主体。任何客户在使用金山云的服务前,都需要首先注册生成一个金山云账号,一般使用用户名作为账号的登录标识。
账号是其名下所有云计算资源的所有者,拥有名下全部资源的完全控制权限,能够对资源进行购买、续费、退订、升级等操作,拥有资源的订单、账单;云计算资源可被所属账号随意操作访问。
子用户是账号下的授权实体,也是归属于账号的一种资源。子用户不拥有任何云计算资源、不能独立计量和计费,只能被主账号授权管理其名下的各种资源,其所管理的资源归属于主账号(由主账号付费),且没有独立的账单。
子用户在获得主账号的授权后,能够被设置密码和访问密钥,从而登录控制台和使用openAPI管理主账号的资源。
角色是一种虚拟用户(或影子用户),它是子用户类型的一种。这种虚拟用户有确定的身份,也可以被赋予一组权限(Policy),但它没有确定的身份认证密钥(登录密码或AccessKey)。与普通子用户的差别主要在使用方法上,角色需要被授信给云账号(自己或其他云账号)使用,授信成功后云账号可依据实际情况赋予其下实体(子用户)扮演该角色,由此实体可获得该角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源,此时实体身份所对应的访问权限将被隐藏。
角色主要用于解决身份联盟(Identity Federation)相关需求,比如联合您的企业本地账号实现SSO (Single-Sign-On)、委托其他云账号及其下子用户操作您所控制的资源、委托云服务操作您所控制的资源。
资源(resource)
资源是金山云的客户操作或者使用云服务的对象实体,比如云服务器实例、EIP实例等;为方便在IAM的策略文档中描述一个资源,我们使用KRN(Kingsoft Resource Name)唯一标识一个金山云资源。
管理操作都可以通过IAM进行授权控制,数据操作只有存储类产品如KS3才基于IAM进行授权控制。每种产品基于IAM所能够进行控制的操作参考该产品的openAPI文档。
IAM服务允许在一个金山云账号下创建并管理多个子用户身份,并允许给每个子用户分配不同的授权策略(Policy),从而实现不同子用户管理一个账号下不同的云计算资源的功能。
子用户身份是指通过控制台或openAPI操作金山云资源的人、系统或应用程序。IAM目前只支持一种身份标识,即子用户(IAM User),其有确定的身份和访问密钥,通常与某个人或者应用程序对应。
IAM允许在金山云账号下创建并管理多个授权策略,每个授权策略本质上是一组权限的集合。金山云账号可以将一个或多个授权策略分配给子用户。IAM授权策略语言可以表达精细的授权语义,可以指定对某个openAPI操作(Action)和资源(Resource)授权。
| 产品/服务名称 | 英文缩写 | 控制台 | openAPI |
|---|---|---|---|
| 内容分发网络 | CDN | 暂不支持 | 支持 |
| 云主机 | KEC | 支持(新版) | 支持 |
| 虚拟专有网路 | VPC | 支持(新版) | 支持 |
| 弹性IP | EIP | 支持(新版) | 支持 |
| 负载均衡 | SLB | 支持(新版) | 支持 |
| 访问控制 | IAM | 支持 | 支持 |
| 云物理主机 | EPC | 支持 | 支持 |
| 托管Hadoop | KMR | 支持(服务粒度) | 支持(服务粒度) |
| 域名服务 | DNS | 支持 | 支持 |
| 安全服务 | KAS | 支持(服务粒度) | 支持(服务粒度) |
| 共享带宽 | BWS | 支持 | 支持 |