功能概述

访问鉴权管理(Identity and Access Management)简称 IAM,是为企业云平台提供身份识别和访问控制的 Web 服务。企业云平台通过使用 IAM 来统一管理和控制接入实体的认证和授权,使得用户能更安全地、自主的管控本账户下的任意资源的访问权限。

使用者通过 IAM 来定义谁可以接入访问、如何接入访问以及接入访问后能干什么,其中 如何 将由 IAM 身份来定义,干什么 由 IAM 策略进行配置。

名词解释

便于用户理解 IAM 服务,现对 IAM 使用过程中的专有名词说明如下。

  • 策略

    策略是一系列企业云平台云服务自定义权限的集合。当用户通过 IAM 策略定义某个服务或资源的权限范围后,可以将该策略附加到指定的身份上,则该身份将获得此策略所定义的访问权限。

    企业云平台为用户提供了一系列系统预置策略以满足日常管理需求,也支持用户通过 IAM 管理控制台可视化配置策略以满足特定权限管理需求。

  • 身份

    身份用于管理本账户的临时接入访问。用户通过身份可以授权其他用户、云平台设备或应用访问自己的云平台资源而无需借助账号密码或密钥。

    身份需要附加策略后使用,当身份被附加了一定权限范围的策略后,则该身份将具备此策略定义的访问权限。

  • 用户

    一个 IAM 用户就是一个身份实体,它通常代表需要访问云资源的人员或应用程序。通过 IAM 用户,可以设定访问云平台资源访问方式,例如通过控制台访问,或者通过 API 进行访问。

  • 信任载体

    只有被身份信任,才可以使用对应的身份,因此在使用身份之前,需要建立信任关系。已与身份建立了信任关系,且可以代入该身份使用的实体被称为信任载体。用户在创建身份时,需要指定信任载体。身份创建成功后,便已成功将该身份和某一类实体建立了信任关系。

  • 会话有效期

    为了保证用户的账户及资源安全,每个身份在被代入使用时系统将会为其生成一个临时凭证。此凭证将有别于现有的账户密码或 API 密钥,过一段时间就会自动失效。身份每次被使用时的凭证自动失效时长即称为身份的会话有效期

    不同的信任载体类型,企业云平台将提供不同的默认会话有效期,用户可以在身份创建成功后通过编辑身份属性来修改身份的会话有效期。

  • 服务类别

    服务类别指的是企业云平台为用户提供的一系列云服务,如弹性云服务器服务、虚拟专用网服务等。用户如需创建策略以自定义某些操作或资源的访问权限,需要先选择对应的服务类别,然后勾选需要限定的操作,最后根据操作来指定权限范围。

    如需查看企业云平台 IAM 已支持的服务列表,请参阅:IAM 支持的服务列表

  • QRN(资源标识符)

    当用户通过 IAM 策略来指定特定资源的访问权限时,该特定资源需要被一个全平台唯一的编号所标识,它就是资源标识符,简称 QRN。企业云平台统一了所有不同类别的资源标识方法,在 IAM 策略使用过程中均需遵循此方法。

    请参阅:QRN(资源标识符)