更新时间:2024-07-26 GMT+08:00

使用前必读

IAM的使用对象

IAM的使用对象为管理员:

  • 账号:账号可以使用所有服务,包括IAM。
  • admin用户组中的用户:IAM默认用户组admin中的用户,可以使用所有服务,包括IAM。
  • 授予了“Security Administrator”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。

推荐您在使用IAM前,开通云审计服务CTS,方便查看、审计以及回溯IAM的关键操作记录。详情请参考:开通云审计服务

账号

账号是资源的归属,对其所拥有的资源具有完全控制权限,可以访问所有云服务。

IAM用户

由管理员在IAM中创建的用户,IAM用户可以使用账号名、IAM用户名和密码登录系统,并根据权限使用所属账号中的资源。IAM不拥有资源,IAM用户的权限和资源由所属账号统一控制。

账号与IAM用户的关系

账号与IAM用户可以类比为父子关系,账号对其拥有的资源具有完全控制权限。

IAM用户由管理员创建,权限由管理员分配,管理员可以随时修改或者撤销IAM用户的权限。

图1 账号和IAM用户的关系

用户组

用户组是权限控制的最小单位,您可以使用用户组来为IAM用户授权。默认情况下,新创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。授权后,IAM用户就可以基于权限对云服务进行操作。

“admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

图2 用户组

权限

IAM预置了各服务的常用权限,例如管理员权限、只读权限,您可以直接使用这些权限。默认情况下,管理员创建的IAM用户没有任何权限。需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限。这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。