最近更新时间:2024.03.22 08:32:12
首次发布时间:2023.07.07 09:56:20
访问控制 IAM (Identity and Access Management)是一套权限管理系统,是火山引擎为客户提供的免费服务之一。您可以为火山引擎账号(主账号)创建IAM用户,并根据不同的用途授予IAM用户相应的权限,控制不同身份对云资源的访问权限,实现资源的分权管理,提高管理效率,降低信息泄露风险。
使用火山引擎资源,您需要先在火山引擎进行账号注册,注册完成后您会取得一个火山引擎账号,该账号即为“主账号”,主账号默认拥有账号下所有资源的全部管理权限。
仅使用主账号管理资源,可能存在如下问题:
您能够通过IAM功能避免以上问题,您可在主账号下创建IAM用户、用户组、角色,新创建的IAM用户、用户组、角色没有任何权限,您可根据实际用途授予创建IAM用户、用户组、角色相应权限,实现多重身份管理、精细化权限控制等,更多功能特性,请参见访问控制产品介绍。
用户是访问控制的一种身份,由账号(Account)或是拥有权限的用户创建。用户被授予权限(Policy)后,可登录控制台或使用访问密钥(Access Key)调用API访问云资源。更多用户的介绍及相关操作,请参见用户管理。
用户组是用户的集合。当用户组被关联上策略后,同一用户组里的所有用户会拥有对应的策略权限,同一个用户可存在于多个用户组中,可同时拥有多个用户组的权限。更多用户组的介绍及相关操作,请参见用户组管理。
角色是访问控制里的一种虚拟身份。角色无法直接访问云服务,需要先配置信任关系信任其他身份,受信任的身份通过扮演角色(AssumeRole)获取临时安全凭证,然后访问云资源。更多角色的介绍及相关操作,请参见角色管理。
角色的信任身份支持多种类型:
注意
IAM角色既是一种身份,也是一种资源。当角色作为身份时,需要关联权限策略来表达角色所拥有的访问权限(与角色扮演产生的临时凭证权限有关)。当角色作为资源时,需要关联信任策略来表达角色可被何种身份访问(即角色可被何种身份扮演)。
策略是用语法结构描述的一组权限的集合,策略中可定义操作范围、资源范围和权限生效条件,IAM用户、用户组或角色均需通过关联策略来赋予权限。
新创建的IAM用户、用户组或角色,默认没有任何权限,需要主账号为其授权策略,授权后IAM用户、用户组或角色才能管理、访问主账号下的云资源。为保证资源的数据安全,授权时应遵循权限最小化原则,授予相应IAM用户、用户组或角色刚好足够使用权限即可。
为IAM身份添加IAM策略时,需要选择IAM策略生效的范围,当前支持如下两种权限范围:
说明
若您当前的策略已经满足使用要求,您可在创建IAM用户时直接为新创建的IAM用户添加权限策略,并指定策略作用范围。
为用户组添加权限。
添加权限时需选择权限作用范围:
使用IAM用户登录火山引擎。