You need to enable JavaScript to run this app.
导航

访问控制

最近更新时间2023.07.06 14:18:43

首次发布时间2022.09.02 08:53:32

访问控制 IAM (Identity and Access Management)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限,如为不同IAM用户授予多个云资源的权限、为多个云资源设置相同的权限、为IAM不同用户授予不同的权限,从而实现资源的分权管理,提高管理效率,降低信息泄露风险。

IAM的更多信息,请参见访问控制

基本概念

名称说明

主账号

账号或称主账号是您在火山引擎资源归属、资源计量、资源计费的主体。在使用火山引擎的服务前,您首先需要注册生成一个火山引擎账号,一般使用用户名作为账号的登录标识。
账号是其名下所有服务资源的所有者,拥有账户下全部资源的完全访问权限,能够对资源进行购买、续费、升级等操作,拥有资源的订单和账单。服务资源可被所属账号随意操作访问。

IAM用户

又称子账号,是由火山引擎公有云主账号创建。创建成功后归属于主账号,不是独立的公有云账号。该账号不拥有任何服务资源、不能独立计量和计费,只能被主账号授权管理其名下的各种资源,其所管理的资源归属于主账号(由主账号付费),且没有独立的账单。
IAM用户在获得主账号的授权后,能够被设置密码和访问密钥,从而登录控制台和使用OpenAPI管理主账号的资源。

用户组用户的一个集合,同一个用户可存在于多个用户组中。当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限。

角色

角色无法直接访问云服务,需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源。角色的信任身份支持以下类型:

  • 账号:授权当前登录账号或其他账号通过角色访问您的云资源。
  • 用户:可以是一个真实的使用者,也可以是一个后端服务。用户被角色授信后,可使用临时凭证来访问云服务资源,保证访问的安全性。
  • 云服务:授权火山引擎服务通过角色访问您的云资源。
    云服务指火山引擎上的云服务,某些云产品可能会依赖您的其他云产品资源来提供服务,此时,云产品也将成为IAM身份,您可以对产品的服务身份进行权限管理,以有效地保护资源被合理、安全地访问。

应用场景

IAM策略适用于以下授权场景:

  • 对用户授予多个云资源的权限。
  • 对多个云资源设置相同的权限。
  • 对不同用户授予不同的权限。

IAM策略

新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使用户或用户组有某些云资源的操作权限。
IAM支持两种类型的策略:系统预设策略和自定义策略。

  • 系统预设策略:IAM平台设置了关于公网IP的默认策略,若您需要向IAM用户、用户组或角色添加权限,您可以直接关联预设策略,描述信息及支持的操作如下所示。

    策略名称描述支持的操作
    EIPFullAccess公网IP全读写策略公网IP的管理权限,包括创建、查看、删除相关资源等操作。
    EIPReadOnlyAccess公网IP只读策略公网IP的只读权限,只可查看相关资源。
  • 自定义策略:如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,参考 策略管理 创建您自己的IAM策略。

您在使用IAM用户创建和管理云资源时,IAM用户必须已被主账号授予相应的权限,相关操作请参见 通过IAM用户控制资源访问