使用前必读
IAM的使用对象
IAM的使用对象为管理员:
- 账号根用户:账号根用户可以使用所有服务,包括IAM。
- admin用户组中的用户:IAM默认用户组admin中的用户,可以使用所有服务,包括IAM。
- 授予了“IAMFullAccessPolicy”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。
推荐您在使用IAM前,开通云审计服务CTS,方便查看、审计以及回溯IAM的关键操作记录。详情请参考:IAM支持云审计的关键操作。
如何进入IAM控制台
- 登录华为云,在右上角单击“控制台”。
图1 进入控制台
- 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
图2 进入统一身份认证
账号
您注册华为云后,系统自动创建账号,账号是资源的归属以及使用计费的主体,账号根用户对其所拥有的资源具有完全控制权限,可以访问所有云服务。账号不能在IAM中修改和删除,如果您需要删除账号,可以在账号中心进行注销。
如下图所示,使用账号登录后,在IAM的“用户”中可以看到账号对应的用户,在IAM中标识为“企业管理员”。
IAM用户
由管理员在IAM中创建的用户,如下图所示,“James”为管理员创建的IAM用户。IAM用户可以使用账号名、IAM用户名和密码登录华为云,并根据权限使用所属账号中的资源。IAM用户不拥有资源,使用云服务资源时不进行独立的计费,IAM用户的权限和资源由所属账号统一控制和付费。
账号根用户
在创建账号的同时,会默认创建一个与账号同名的根用户。
从概念上来说,账号根用户也是一种IAM用户,它具备IAM用户概念模型下相同的能力。
从使用上来说,账号根用户会有一些额外的约束与限制。
约束1:账号根用户拥有默认的授权
账号根用户在被创建的同时会被默认授予完全访问权限, 基于这些权限根用户可以完全控制账号下的资源, 还可以分配其他IAM用户的使用权限。
约束2:账号根用户的权限不允许被修改
账号根用户不允许被绑定或者解绑权限,也不允许被加入或移除用户组,以保证账号根用户可以完全控制账号下的资源。
约束3:账号根用户不允许被删除
- 强烈建议您不要使用根用户来执行日常任务。
- 请您保护好根用户凭证,避免泄露。
账号与IAM用户的关系
从概念模型上来说
- 账号: 资源归属、资源使用计费的主体,账号不直接使用资源。
- IAM用户: 账号下资源的使用主体。
从使用习惯上来说
- 账号根用户:创建账号时,默认创建的与账号同名的IAM用户, 有一些额外的约束与限制。
- IAM用户:创建账号后,手动创建的IAM用户,可以被修改权限和删除。
用户组
用户组是用户的集合,IAM可以通过用户组功能实现批量用户的授权。您创建的IAM用户,在为其授权或者加入已被授权的用户组时,将具备对应的权限,可以基于权限对云服务进行操作。当某个用户加入多个用户组时,此用户同时拥有多个用户组的权限,即多个用户组权限的全集。
“admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
权限
- 云服务在IAM预置了常用权限,称为系统身份策略。管理员给用户组授权时,可以直接使用这些系统身份策略,系统身份策略只能使用,不能修改。如果管理员在IAM控制台给用户、用户组、委托或者信任委托授权时,无法找到特定服务的系统身份策略,原因是该服务暂时不支持身份策略,管理员可以通过给对应云服务提交工单,申请该服务在IAM预置权限。
- 如果系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义身份策略,并通过给用户组授予自定义身份策略来进行精细的访问控制,自定义身份策略是对系统身份策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义身份策略配置方式。
例如,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
