基本概念

IAM身份

用户（User）

用户是访问控制的一种身份，由账号（Account）或是拥有权限的用户创建。用户被授予权限（Policy）后，可登录控制台或使用访问密钥（Access Key）调用API访问云资源。更多用户的介绍及相关操作，请参见用户管理。

• IAM用户又称子账号，是由火山引擎账号（主账号）或具有管理权限的IAM用户创建。
• IAM用户创建成功后，归属于火山引擎账号（主账号），不是独立的火山引擎账号。
• IAM用户必须在获取授权后，才能访问权限范围内的火山引擎账号（主账号）下的资源。
• IAM用户不拥有任何服务资源、不能独立计量计费，只能被火山引擎账号（主账号）授权管理其名下的各种资源，其所管理的资源归属于主账号（由主账号付费），且没有独立的账单。

用户组（User Group）

用户组是用户的集合。当用户组被关联上策略后，同一用户组里的所有用户会拥有对应的策略权限，同一个用户可存在于多个用户组中，可同时拥有多个用户组的权限。更多用户组的介绍及相关操作，请参见用户组管理。

角色（Role）

角色是访问控制里的一种虚拟身份。角色无法直接访问云服务，需要先配置信任关系信任其他身份，受信任的身份通过扮演角色（AssumeRole）获取临时安全凭证，然后访问云资源。更多角色的介绍及相关操作，请参见 角色管理 。

角色的信任身份支持多种类型：

• 用户（User）：可以是一个真实的使用者，也可以是一个后端服务。用户被角色授信后，可使用临时凭证来访问云服务资源，保证访问的安全性。
• 账号（Account）：角色可以授信为当前账号，也可以授信其他账号。
• 云服务（Service）：指火山引擎上的云服务，角色授信给服务后，服务将能扮演账号身份访问云资源。
• 身份提供商（IdP）：指客户自有的身份服务。客户可通过联邦登录能力建立起自有IdP与火山引擎IAM的信任关系，实现单点登录火山引擎控制台。

策略

策略是用语法结构描述的一组权限的集合，策略中可定义操作范围、资源范围和权限生效条件，IAM用户、用户组或角色均需通过关联策略来赋予权限。

新创建的IAM用户、用户组或角色，默认没有任何权限，需要主账号为其授权策略，授权后IAM用户、用户组或角色才能管理、访问主账号下的云资源。为保证资源的数据安全，授权时应遵循权限最小化原则，授予相应IAM用户、用户组或角色刚好足够使用权限即可。

• 策略类型：IAM支持系统预设策略和自定义策略两种类型的策略。

• 策略句式：IAM策略有固定语法句式，您可按需创建更丰富、更多元的IAM策略。更多介绍，请参见 IAM策略语法 。

• 策略生效范围
  为IAM身份添加IAM策略时，需要选择IAM策略生效的范围，当前支持如下两种权限范围：

  • 全局权限：
    • IAM策略生效范围为全局权限时，被指定的IAM策略对账号内所有项目（包括未来新增项目）生效。
    • 若您需要给IAM身份账号下全部资源权限，IAM策略生效范围可使用“全局权限”。
  • 项目权限：
    • IAM策略生效范围为项目权限时，被指定的IAM策略仅在指定项目范围内的资源生效，非指定项目范围内的资源无效。
    • 若您需要精准控制IAM身份访问范围，IAM策略生效范围可使用“项目权限”。

单点登录（SSO）

单点登录也称为联合身份登录。火山引擎支持基于SAML2.0的SSO，提供用户SSO与角色SSO两种SSO方式。客户可通过IAM的SSO能力实现通过企业自有IdP单点登录火山引擎控制台。