注意
本文含有重要提示信息,忽略这些信息可能影响您的业务,请务必仔细阅读。
veImageX 会对每一次发起操作请求的用户进行身份验证,通过访问密钥验证该用户是否拥有相应的权限。本文为您介绍 veImageX 账号与授权的核心概念。
核心概念
访问控制
访问控制(Identity and Access Management,IAM)是火山引擎提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。
主账号
火山引擎账号(主账号)是火山引擎资源归属、资源使用计量计费的基本主体。火山引擎账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。
子账号
IAM 用户(子账号)是 IAM 中的一种身份,由主账号或具有管理权限的 IAM 用户创建。用户被授予权限(Policy)后,可登录控制台或使用访问密钥(Access Key)调用 API 访问云资源。
策略
策略(Policy)是用语法结构描述的一组权限的集合,策略中可定义操作范围、资源范围和权限生效条件。新创建的 IAM 用户默认没有任何权限,需要主账号为其授权策略,授权后 IAM 用户才能管理和访问主账号下的云资源。为保证资源的数据安全,授权时应遵循权限最小化原则,授予相应 IAM 用户刚好足够使用权限即可。策略包含两种类型:
- 系统预设策略:由火山引擎创建和管理的一些常见的权限集合。系统预设策略只能用于授权,用户不可编辑和修改。更多信息,请见 veImageX 系统预设策略。
- 自定义策略:由您自行创建和编辑的策略,用于更精细化的权限管理场景。更多信息,请见创建自定义权限策略。
项目
项目是火山引擎提供的一种资源管理方式。您可以对不同业务使用的云资源进行分组管理。基于项目(即一组资源)进行 IAM 授权,有利于维护资源独立、数据安全;同时可从项目维度查看资源消费账单,便于计算云资源使用成本。
目前支持子账号项目权限管控的功能模块范围如下表:
一级功能模块 | 二级功能模块 | 是否支持有项目权限的子账号使用 |
|---|---|---|
概览 | - | 不支持 |
服务管理 | 服务管理 | 支持 |
处理配置 | 不支持 | |
刷新预热 | 不支持 | |
资源管理 | 支持 | |
证书管理 | 不支持 | |
统计与监控 | 支持 | |
附加组件 | 部分支持(智能裁剪附加组件支持) | |
SDK 管理 | 应用管理 | 支持 |
SDK 配置下发 | 不支持 | |
质量监控 | 不支持 | |
平台工具 | 购买资源包 | 不支持 |
工具箱 | 不支持 |
服务
服务(ServiceID)是 veImageX 图片服务产品的最小隔离单元;每个服务可以独立配置业务资源、业务模板以及功能配置。服务和项目存在一定的关联关系。
假设:
- 主账号将 veImageX 服务 A 和服务 B 与项目 1 关联,给子账号 1 开通项目 1 的权限。
- 主账号将 veImageX 服务 C 与项目 2 关联,给子账号 2 开通项目 2 的权限。
那么:
- 子账号 1 使用 veImageX 控制台或 OpenAPI 时,只能查看并使用服务 A 和服务 B 的资源和数据,无法查看服务 C。
- 子账号 2 使用 veImageX 控制台或 OpenAPI 时,只能查看并使用服务 C 的资源和数据用量,无法查看服务 A 和服务 B。
访问密钥 Access Key
访问密钥 Access Key 是用户请求火山引擎 API 的安全凭证,是由 Access Key ID(简称 AK)和 Secret Access Key(简称 SK)组成的密钥对。目前访问 veImageX 使用的 AK/SK 支持以下两种类型:
- 主账号 AK/SK:每个主账号能够同时拥有不超过 2 对启用或者禁用 AK/SK。主账号的 AK/SK 对所属的资源有完全的权限,一旦泄露,将存在巨大的安全风险或造成资损。不建议使用主账号 AK/SK 访问veImageX服务。
- 子账号 AK/SK:强烈建议您创建子账号,按需分配权限,然后使用子账号的 AK/SK 访问veImageX服务。
关于如何获取 AK/SK,请见 API 访问密钥管理。
应用场景
账号与授权有以下几种典型应用场景:
- 云产品维度权限隔离:企业内多个部门使用火山引擎产品,其中 A 部门专门负责对接 veImageX。A 部门的人员需要访问 veImageX,但不能访问其他火山引擎产品。为此,可以创建一个子账号,仅授予 veImageX 相关权限,并将该子账号提供给 A 部门使用。
- veImageX 服务维度权限隔离:企业内部有多个业务使用 veImageX,需要进行资源和权限隔离。资源隔离由 veImageX 服务提供,权限隔离由火山引擎访问管理实现。企业可以为每个业务创建一个子账号,授予对应的 veImageX 服务权限,以确保每个业务仅能访问与其服务的空间。
- veImageX 操作维度权限隔离:企业的一个业务使用 veImageX,该业务的产品运营人员需要访问 veImageX 控制台获取统计数据,但不允许进行敏感操作(如删除文件、关闭域名),以避免意外操作影响业务。为实现这一要求,可以创建一个子账号,并与 veImageX 系统预设策略 ImageXReadOnlyAccess 绑定,然后将该子账号提供给产品运营人员使用。
veImageX 系统预设策略
veImageX 当前支持的系统预设策略如下表所示。
策略名称 | 说明 |
|---|---|
ImageXFullAccess | 图片服务(ImageX)管理员权限。 |
ImageXReadOnlyAccess | 图片服务(ImageX)查看权限。 |
ImageXDefaultAccess | 图片服务(ImageX)默认使用权限,包含除删除模板、服务、域名权限之外的管理权限。 |
ImageXAccessSSLRolePolicy | 图片服务(ImageX)访问证书中心获取证书实例、导入证书接口。 |
创建项目
- 使用主账号登录访问控制控制台。
- 在项目管理页面,单击新建项目。
- 在右侧弹窗中,填写项目名称,单击确定。
创建子账号并授权
通过创建子账号并授权,子账号就可以访问有权限的 veImageX 资源。
- 使用主账号登录访问控制控制台。在用户页面,单击新建用户。每个 IAM 用户即一个子账号。
- 选择创建方式。您可通过用户名或手机号创建。
- 在信息填写区域,填写用户基本信息。您可单击添加用户,批量创建多个 IAM 用户。
- 在登录设置区域,选择访问方式,然后设置对应参数。为了账号安全,建议您只选择以下访问方式中的一种,将人员用户和应用程序用户分离,避免混用。
- 编程访问:使用访问密钥 AccessKey 访问。启用后,系统会自动为 IAM 用户生成一对 AK/SK。您还可勾选是否允许用户管理自己的 API 密钥。
- 控制台访问:使用用户名和密码访问。启用后,您需要设置密码以及选择是否开启登录保护。
- 编程访问:使用访问密钥 AccessKey 访问。启用后,系统会自动为 IAM 用户生成一对 AK/SK。您还可勾选是否允许用户管理自己的 API 密钥。
- 单击下一步。在权限设置页面,进行以下操作:
- 选择关联权限策略。您可在搜索输入框中输入 “veImageX” 搜索 veImageX 系统预设策略,也可创建自定义权限策略。
- 设置作用范围:
- 全局:权限在当前子账号内生效。
- 指定项目:权限在指定的项目内生效。
- 单击下一步。仔细检查您的设置后,再单击提交。
后续操作
在 veImageX 产品中使用项目
使用 IAM 用户访问 veImageX 控制台
- 打开火山引擎登录页面。
- 选择 IAM 子用户登录,打开 IAM 子用户登录页面。
- 填写主账号及子账号信息后单击立即登录。
- 在产品与服务中心选择 veImageX,进入 veImageX 控制台。
获取 IAM 用户的 AK/SK 发起请求
- 使用主账号登录访问控制控制台。
- 在左侧导航栏单击身份管理 > 用户。
- 单击 IAM 用户右侧的管理,进入用户详情页面,在用户详情的密钥页签查看当前 IAM 用户的 AK/SK。
说明
- 您可以在密钥列表中对正在使用的 Access Key 进行禁用,禁用后密钥访问将失效,启用后密钥重新生效。
- Access Key ID 和 Secret Access Key 是您访问火山引擎 API 的密钥,具有该 IAM 用户的全部权限,且每个IAM 用户最多创建两个。
- 请您妥善保管并定期更换密钥,及时删除不再使用的密钥,密钥删除后密钥将彻底失效,不可恢复,请谨慎操作。
- 集成 veImageX 服务端 SDK 并设置 AK/SK,详见以下文档: