使用前必读

IAM的使用对象

IAM的使用对象为管理员：

• 账号：账号可以使用所有服务，包括IAM。
• admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。
• 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。

推荐您在使用IAM前，开通云审计服务CTS，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：开通云审计服务。

账号

账号是资源的归属，对其所拥有的资源具有完全控制权限，可以访问所有云服务。

IAM用户

由管理员在IAM中创建的用户，IAM用户可以使用账号名、IAM用户名和密码登录系统，并根据权限使用所属账号中的资源。IAM不拥有资源，IAM用户的权限和资源由所属账号统一控制。

账号与IAM用户的关系

账号与IAM用户可以类比为父子关系，账号对其拥有的资源具有完全控制权限。

IAM用户由管理员创建，权限由管理员分配，管理员可以随时修改或者撤销IAM用户的权限。

图1 账号和IAM用户的关系

用户组

用户组是权限控制的最小单位，您可以使用用户组来为IAM用户授权。默认情况下，新创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授权，用户组中的用户将获得用户组的权限。授权后，IAM用户就可以基于权限对云服务进行操作。

“admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

图2 用户组

权限

IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

• 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
• 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。