IAM角色是IAM身份类型的一种。IAM角色是一种虚拟用户身份,根据其身份可以确定具有确定其可执行和不可执行的操作的权限策略。
- 角色需要由具体的实体进行扮演代入,而不是唯一地与某个人员关联。
- 角色没有关联的标准长期凭证(如密码或访问密钥)。当具体实体扮演时,它会为您提供角色会话的临时安全凭证。
基本概念
| 术语 | 说明 |
|---|---|
| IAM角色 | IAM角色有确定的身份,可以被赋予一组权限策略,但没有确定的登录密码或访问密钥。IAM角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得IAM角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。 |
| 角色KRN | 角色KRN是角色的全局资源描述符,用来指定具体角色。KRN遵循金山云KRN的命名规范。例如krn:ksc:iam::200****52:role/rolename。创建角色后,单击角色名后,可在基本信息页查看其KRN。 |
| 授信实体 | 角色的可授信实体是指可以扮演角色的实体用户身份。创建角色时必须指定授信实体,角色只能被授信的实体扮演。授信实体可以是云账号、云服务或身份提供商。 |
| 权限策略 | 一个角色可以绑定一组权限策略。没有绑定权限策略的角色也可以存在,但不能访问资源。 |
| 扮演角色 | 扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole可以获得角色的安全令牌,使用安全令牌可以访问云服务API。 |
| 切换身份 | 切换身份是在控制台中实体用户从当前登录身份切换到角色身份的方法。一个实体用户登录到控制台之后,可以切换到被许可扮演的某一种角色身份,然后以角色身份操作云资源。当用户不需要使用角色身份时,可以从角色身份切换回原来的登录身份。 |
| 角色令牌 | 角色令牌是角色身份的一种临时访问密钥。角色身份没有确定的访问密钥,当一个实体用户要使用角色时,必须通过扮演角色来获取对应的角色令牌,然后使用角色令牌来调用金山云服务API。 |
角色类型
| 角色类型 | 说明 | 应用场景 |
|---|---|---|
| 金山云账号 | 允许金山云账号和IAM子用户扮演角色。可以是自己的金山云账号,也可以是其他金山云账号。 | 该类角色主要用于解决跨账号访问和临时授权问题。 |
| 金山云服务 | 允许云服务扮演的角色 | 该类角色主要用于解决跨云服务授权访问的问题。 |
| 身份提供商 | 允许身份提供商下的用户所扮演的角色。 | 该类角色主要用于实现与金山云的角色SSO |
文档内容是否对您有帮助?
根本没帮助
文档较差
文档一般
文档不错
文档很好
在文档使用中是否遇到以下问题
内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长
更多建议
0/200
评价建议不能为空
提交成功!
非常感谢您的反馈,我们会继续努力做到更好!