产品概述

基本概念

• 账号（主账号、成员账号）

账号或称主账号是客户在金山云资源归属、资源计量、资源计费的主体。任何客户在使用金山云的服务前，都需要首先注册生成一个金山云账号，一般使用用户名作为账号的登录标识。

账号是其名下所有云计算资源的所有者，拥有名下全部资源的完全控制权限，能够对资源进行购买、续费、退订、升级等操作，拥有资源的订单、账单；云计算资源可被所属账号随意操作访问。

• 子用户

子用户是账号下的授权实体，也是归属于账号的一种资源。子用户不拥有任何云计算资源、不能独立计量和计费，只能被主账号授权管理其名下的各种资源，其所管理的资源归属于主账号（由主账号付费），且没有独立的账单。

子用户在获得主账号的授权后，能够被设置密码和访问密钥，从而登录控制台和使用openAPI管理主账号的资源。

• 角色（role)

角色是一种虚拟用户（或影子用户），它是子用户类型的一种。这种虚拟用户有确定的身份，也可以被赋予一组权限(Policy)，但它没有确定的身份认证密钥（登录密码或AccessKey）。与普通子用户的差别主要在使用方法上，角色需要被授信给云账号（自己或其他云账号）使用，授信成功后云账号可依据实际情况赋予其下实体（子用户）扮演该角色，由此实体可获得该角色的临时安全令牌，使用这个临时安全令牌就能以角色身份访问被授权的资源，此时实体身份所对应的访问权限将被隐藏。

角色主要用于解决身份联盟(Identity Federation)相关需求，比如联合您的企业本地账号实现SSO (Single-Sign-On)、委托其他云账号及其下子用户操作您所控制的资源、委托云服务操作您所控制的资源。

• 资源（resource）
  资源是金山云的客户操作或者使用云服务的对象实体，比如云服务器实例、EIP实例等；为方便在IAM的策略文档中描述一个资源，我们使用KRN（Kingsoft Resource Name）唯一标识一个金山云资源。

• 操作（action）
  操作是金山云客户管理或者使用云计算资源动作，可以分为管理操作和数据操作两大类。管理操作是对资源生命周期和运维的管理动作，比如云服务器的创建、重启，KS3的bucket的创建等。数据操作是使用资源的动作，比如在云服务器中安装部署软件，在KS3的bucket上上传/下载对象。

管理操作都可以通过IAM进行授权控制，数据操作只有存储类产品如KS3才基于IAM进行授权控制。每种产品基于IAM所能够进行控制的操作参考该产品的openAPI文档。

产品设计思路

IAM服务允许在一个金山云账号下创建并管理多个子用户身份，并允许给每个子用户分配不同的授权策略(Policy)，从而实现不同子用户管理一个账号下不同的云计算资源的功能。

子用户身份是指通过控制台或openAPI操作金山云资源的人、系统或应用程序。IAM目前只支持一种身份标识，即子用户（IAM User），其有确定的身份和访问密钥，通常与某个人或者应用程序对应。

IAM允许在金山云账号下创建并管理多个授权策略，每个授权策略本质上是一组权限的集合。金山云账号可以将一个或多个授权策略分配给子用户。IAM授权策略语言可以表达精细的授权语义，可以指定对某个openAPI操作（Action）和资源（Resource）授权。

支持IAM功能的金山云产品/服务

产品/服务名称	英文缩写	控制台	openAPI
内容分发网络	CDN	暂不支持	支持
云主机	KEC	支持（新版）	支持
虚拟专有网路	VPC	支持（新版）	支持
弹性IP	EIP	支持（新版）	支持
负载均衡	SLB	支持（新版）	支持
访问控制	IAM	支持	支持
裸金属服务器		支持	支持
托管Hadoop	KMR	支持（服务粒度）	支持（服务粒度）
域名服务	DNS	支持	支持
安全服务	KAS	支持（服务粒度）	支持（服务粒度）
共享带宽	BWS	支持	支持
对象存储	KS3	支持	支持