You need to enable JavaScript to run this app.
导航

基本概念

最近更新时间2023.05.05 14:13:05

首次发布时间2021.02.23 10:42:32

用户(User)

用户是访问控制的一种身份,由账号(Account)或是拥有权限的用户创建。用户被授予权限(Policy)后,可登录控制台或使用访问密钥(Access Key)调用API访问云资源。
账号(又称为主账号)可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限。

用户组(User Group)

用户组是用户的一个集合,同一个用户可存在于多个用户组中。当用户组被关联上策略后,用户组里的用户也会拥有对应的策略权限。

角色(Role)

角色是访问控制里的另一种身份。但和用户不同的是,角色无法直接访问云服务。角色需要先配置信任关系,信任其他身份,受信任的身份通过扮演角色(AssumeRole)获取临时安全凭证后来访问云资源。角色的信任身份支持多种类型:

  • 用户(User):可以是一个真实的使用者,也可以是一个后端服务。用户被角色授信后,可使用临时凭证来访问云服务资源,保证访问的安全性。

  • 账号(Account):角色可以授信为当前账号,也可以授信其他账号。

  • 云服务(Service):指火山引擎上的云服务,角色授信给服务后,服务将能扮演账号身份访问云资源。

  • 身份提供商(IdP):指客户自有的身份服务。客户可通过联邦登录能力建立起自有IdP与火山引擎IAM的信任关系,实现单点登录火山引擎控制台。

单点登录(SSO)

单点登录也称为联合身份登录。火山引擎支持基于SAML2.0的SSO,提供用户SSO与角色SSO两种SSO方式。客户可通过IAM的SSO能力实现通过企业自有IdP单点登录火山引擎控制台。

策略(Policy)

策略是对权限的一种描述,IAM提供基于身份的策略(Identity-based policies)基于资源的策略(Resource-based policies)

  • 基于身份的策略是指绑定在身份上的策略,用于为指定身份赋予访问云资源的权限。
  • 基于资源的策略是指绑定在资源上的策略,用于描述资源可被何种身份进行何种访问。
    注意:IAM角色既是一种身份,也是一种资源。当角色作为身份时,需要关联权限策略来表达角色所拥有的访问权限(与角色扮演产生的临时凭证权限有关)。当角色作为资源时,需要关联信任策略来表达角色可被何种身份访问(即角色可被何种身份扮演)。角色的具体用法参考角色管理文档。