You need to enable JavaScript to run this app.
导航

概述

最近更新时间2023.04.18 19:13:28

首次发布时间2022.07.01 09:20:27

访问控制(Identity and Access Management,IAM)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对资源的访问权限。在多人员的访问场景里,通过访问控制,您可以创建用户、用户组、角色等身份应用在不同场景里,而无需将主账号完全托付出去。

IAM的更多信息,请参见访问控制

基本概念

名称说明
主账号账号或称主账号是您在火山引擎资源归属、资源计量、资源计费的主体。在使用火山引擎的服务前,您首先需要注册生成一个火山引擎账号,一般使用用户名作为账号的登录标识。
账号是其名下所有服务资源的所有者,拥有账户下全部资源的完全访问权限,能够对资源进行购买、续费、升级等操作,拥有资源的订单和账单。服务资源可被所属账号随意操作访问。
IAM用户又称子账号,是由火山引擎公有云主账号创建。创建成功后归属于主账号,不是独立的公有云账号。该账号不拥有任何服务资源、不能独立计量和计费,只能被主账号授权管理其名下的各种资源,其所管理的资源归属于主账号(由主账号付费),且没有独立的账单。
IAM用户在获得主账号的授权后,能够被设置密码和访问密钥,从而登录控制台和使用OpenAPI管理主账号的资源。
用户组用户的一个集合,同一个用户可存在于多个用户组中。当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限。

角色

角色无法直接访问云服务,需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源。角色的信任身份支持以下类型:

  • 账号:授权当前登录账号或其他账号通过角色访问您的云资源。
  • 用户:可以是一个真实的使用者,也可以是一个后端服务。用户被角色授信后,可使用临时凭证来访问云服务资源,保证访问的安全性。
  • 云服务:授权火山引擎服务通过角色访问您的云资源。
    云服务指火山引擎上的云服务,某些云产品可能会依赖您的其他云产品资源来提供服务,此时,云产品也将成为IAM身份,您可以对产品的服务身份进行权限管理,以有效地保护资源被合理、安全地访问。

应用场景

IAM策略适用于以下授权场景:

  • 对用户授予多个资源的权限。
  • 对多个资源设置相同的权限。
  • 对不同用户授予不同的权限。

IAM策略

新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使用户或用户组有某些资源的操作权限。

IAM支持两种类型的策略:系统预设策略和自定义策略。

系统预设策略

IAM平台设置了关于ECS的默认策略,若您需要向IAM用户、用户组或角色添加权限,您可以直接关联预设策略,描述信息及支持的操作如下所示。

策略名称描述支持的ECS操作
ECSFullAccessECS全读写访问权限管理权限,包括创建、查看、删除相关资源等操作。
ECSReadOnlyAccessECS只读访问权限只读权限,只可查看相关资源。

自定义策略

如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,参考策略管理创建您自己的IAM策略。