概述

主账号

当您在火山引擎官网完成账号注册后，您就拥有了一个主账号。主账号默认拥有账号下所有服务的OpenAPI调用权限和控制台的操作权限，能够对资源进行购买、续费、退订、升级等操作，拥有资源的订单、账单。

子用户

子用户是一种身份，由主账号（Account）或是拥有权限的用户创建并授予相应的权限，可登录控制台或使用访问密钥（Access Key）调用API访问云服务。更多信息请参见用户管理。

用户组

子用户的一个集合，同一个 IAM 用户可存在于多个用户组中。用户组的权限由被关联的策略决定，当用户组被关联策略之后，用户组里的用户也会拥有对应的策略权限，更多信息请参见用户组管理、策略管理。

角色

角色是另一种身份，无法直接访问云服务。角色需要先配置信任关系，信任其他身份。受信任的身份通过扮演角色获取临时安全凭证来访问云服务，更多信息请参见角色管理。角色的信任身份支持的类型如下：

• 用户（User）：可以是一个真实的使用者，也可以是一个服务。用户被角色信任后，可使用临时凭证来访问云服务资源，保证访问的安全性。
• 账号（Account）：角色可以为当前账号配置信任关系，也可以为其他账号配置信任关系。
• 云服务（Service）：指火山引擎上的云服务，角色授信给服务后，该服务将能扮演账号身份访问其他云服务资源。
• 身份提供商（IdP）：指客户自有的身份服务。客户可通过联邦登录能力建立起自有IdP与火山引擎IAM的信任关系，实现单点登录火山引擎控制台。

策略

策略是对权限的一种描述，IAM 提供基于身份的策略(Identity-based policies)和基于资源的策略（Resource-based policies）。不论是用户、用户组还是角色，都需要通过关联策略来赋予权限。

• 基于身份的策略：是指绑定在身份上的策略，用于为指定身份赋予访问云资源的权限。
• 基于资源的策略：是指绑定在资源上的策略，用于描述资源可被何种身份进行何种访问。 注意：IAM 角色既是一种身份，也是一种资源。当角色作为身份时，需要关联权限策略来表达角色所拥有的访问权限（与角色扮演产生的临时凭证权限有关）。当角色作为资源时，需要关联信任策略来表达角色可被何种身份访问（即角色可被何种身份扮演）。角色的具体用法参考角色管理文档。

项目

项目是一组资源的集合。创建云产品资源的时候，可选择将资源放置在指定的项目中，还可以在资源管理控制台中，对项目内的资源进行查询以及迁入、迁出操作，更多信息请参见项目管理。