更新时间:2024-07-26 GMT+08:00
使用前必读
IAM的使用对象
IAM的使用对象为管理员:
- 账号:账号可以使用所有服务,包括IAM。
- admin用户组中的用户:IAM默认用户组admin中的用户,可以使用所有服务,包括IAM。
- 授予了“Security Administrator”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。
推荐您在使用IAM前,开通云审计服务CTS,方便查看、审计以及回溯IAM的关键操作记录。详情请参考:开通云审计服务。
账号
账号是资源的归属,对其所拥有的资源具有完全控制权限,可以访问所有云服务。
账号与IAM用户的关系
账号与IAM用户可以类比为父子关系,账号对其拥有的资源具有完全控制权限。
IAM用户由管理员创建,权限由管理员分配,管理员可以随时修改或者撤销IAM用户的权限。
图1 账号和IAM用户的关系
用户组
用户组是权限控制的最小单位,您可以使用用户组来为IAM用户授权。默认情况下,新创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。授权后,IAM用户就可以基于权限对云服务进行操作。
“admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
图2 用户组
权限
IAM预置了各服务的常用权限,例如管理员权限、只读权限,您可以直接使用这些权限。默认情况下,管理员创建的IAM用户没有任何权限。需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限。这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。
父主题: 用户指南