功能总览

使用IAM，您可以将账号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。例如：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。

由华为云账号在IAM中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据账号授予的权限使用资源。IAM不拥有资源，不进行独立的计费，IAM用户的权限和资源由所属账号统一控制和付费。

用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。

如果系统权限不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充，可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。

华为云的每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您账号中该区域的所有资源。

如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得IAM用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。

IAM提供委托其他云账号和委托其他云服务两种委托。

• 委托其他华为云账号管理资源：通过委托信任功能，您可以将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号，被委托的账号可以根据权限代替您进行资源运维工作。如下以A账号委托B账号管理资源为例，讲述委托的原理及方法。A账号为委托方，B账号为被委托方。

委托其他云服务管理资源：由于华为云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。以图引擎服务 GES为例：将操作权限委托给GES，允许GES以您的身份使用其他服务，例如发生故障转移时，GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。

当您需要对账号的安全信息进行设置时，可以通过“账号安全设置”进行操作。通过设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统数据的安全性。

多因素认证是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

多因素认证主要应用在登录验证和操作保护中，开启了登录验证功能后，用户登录控制台时，除了需要输入用户名和密码外，还需要在登录验证页面输入验证码；开启了操作保护后，用户进行敏感操作时，需要输入验证码确认操作。

华为云支持基于SAML协议的单点登录，如果您已经有自己的身份认证系统，同时您的用户需要使用您华为云账号内的资源，您可以使用华为云的身份提供商功能，实现用户使用企业身份提供商（Identity Provider ，简称IdP）账号单点登录华为云，这一过程称之为联邦身份认证。

目前华为云支持两种形式的联邦身份认证：

• 浏览器页面单点登录（Web SSO）：浏览器作为通讯媒介，适用于普通用户通过浏览器访问华为云。
• 调用API接口：开发工具/应用程序作为通讯媒介，例如OpenStack Client、ShibbolethECP Client，适用企业或用户通过API调用方式访问华为云。

云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，您可以通过CTS对IAM的关键操作事件进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。

为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，建议管理员开启云审计服务。

为了帮助您安全地控制对华为云资源的访问，请您遵循安全使用IAM的建议。

统一身份认证服务提供了REST（Representational State Transfer）API，支持您通过HTTPS请求调用。

统一身份认证服务提供适合企业级组织结构的用户账号管理机制，为企业成员分配不同的资源及操作权限，借助SDK开发包，您可以很容易的调用IAM的API接口，创建基于华为云的上层应用。目前支持：Java、Python、Go、NodeJs、.NET、PHP。