You need to enable JavaScript to run this app.
导航

访问控制

最近更新时间2023.04.13 20:03:16

首次发布时间2023.04.13 20:03:16

访问控制 IAM (Identity and Access Management)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限,如为不同IAM用户授予多个云资源的权限、为多个云资源设置相同的权限、为IAM不同用户授予不同的权限,从而实现资源的分权管理,提高管理效率,降低信息泄露风险。

基本概念

名称说明

主账号

  • 账号或称主账号,是您在火山引擎资源归属、资源计量、资源计费的主体。在使用火山引擎的服务前,您首先需要注册生成一个火山引擎账号,一般使用用户名作为账号的登录标识。
  • 账号是其名下所有服务资源的所有者,拥有账户下全部资源的完全访问权限(OpenAPI调用权限、控制台的操作权限),能够对资源进行购买、续费、升级等操作,拥有资源的订单和账单。服务资源可被所属账号随意操作访问。

IAM用户

  • IAM用户又称子账号,是由火山引擎主账号创建,创建成功后归属于主账号,不是独立的账号,子账号不拥有任何服务资源、不能独立计量和计费,只能被主账号授权管理其名下的各种资源,其所管理的资源归属于主账号(由主账号付费),且没有独立的账单。
  • IAM用户在获得主账号的授权后,能够被设置密码和访问密钥,从而登录控制台和使用OpenAPI管理主账号的资源。
用户组用户组是用户的集合,同一个用户可存在于多个用户组中。当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限,更多信息请参见用户组管理策略管理

角色

角色无法直接访问云服务,需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源,更多信息请参见角色管理。角色的信任身份支持以下类型:

  • 账号:授权当前登录账号或其他账号通过角色访问您的云资源。
  • 用户:可以是一个真实的使用者,也可以是一个后端服务。用户被角色授信后,可使用临时凭证来访问云服务资源,保证访问的安全性。
  • 云服务:授权火山引擎服务通过角色访问您的云资源。
    云服务指火山引擎上的云服务,某些云产品可能会依赖您的其他云产品资源来提供服务,此时,云产品也将成为IAM身份,您可以对产品的服务身份进行权限管理,以有效地保护资源被合理、安全地访问。

IAM策略应用场景

IAM策略适用于以下场景授权:为用户授予多个云资源的权限、为多个云资源设置相同的权限、为不同用户授予不同的权限。

弹性伸缩IAM策略

新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使用户或用户组有某些云资源的操作权限。IAM支持系统预设和自定义两种类型的策略。

  • 系统预设策略:IAM平台设置了关于弹性伸缩的默认策略,若您需要向IAM用户、用户组或角色添加权限,您可以直接关联预设策略。

    策略名称描述支持的操作
    AutoScalingFullAccess弹性伸缩全部管理权限弹性伸缩控制台和OpenAPI的管理权限,包括创建、查看、删除相关资源等操作。
  • 自定义策略:如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,参考策略管理创建您自己的IAM策略。

为IAM用户授予项目权限

前提条件

  • 已获取主账号及密码。
  • 已创建IAM用户。更多详情,请参见新建用户 。

操作步骤

  1. 使用主账号登录访问控制控制台 。
  2. 在左侧导航树,选择“身份管理 > 用户”,进入用户列表页面。
  3. 单击目标IAM用户名称,进入用户详情页面。
  4. 选择“权限 > 项目权限”页签,单击“添加权限”按钮,弹出添加权限窗口。
  5. 根据实际需求勾选一个或多个权限,如“AutoScalingFullAccess”。
  6. 在作用范围栏,选择目标项目,单击“确定”按钮,完成操作。