多用户访问控制

    相关概念

    角色

    可在百度智能云中账户中创建的拥有特定权限的IAM身份。角色与子用户类似,都是一种百度智能云身份,可以被授予允许拒绝访问特定资源的权限。区别在于,角色是一种虚拟身份,没有确定的身份凭证(密码或密钥),无法直接登录控制台或直接使用API访问你在百度智能云的资源。只有当角色被某一可信任的实体身份所代入时,通过提供角色会话的临时安全凭证,从而访问被授权的资源。

    角色可以被如下类型的用户代入:

    • 与角色在同一账户下的IAM用户
    • 与角色不在同一账户下的IAM用户
    • 由百度智能云提供的Web服务或产品
    • 由与SAML2.0 兼容的身份提供商提供的外部用户

    角色载体

    指可以承担角色权限的对象。在信任策略中定义添加和管理特定角色的角色载体,以允许拒绝这些角色载体访问你在百度智能云中的资源。目前支持成为角色载体的对象可以是主子用户、角色或用户组。

    切换(代入)角色

    指的是角色载体从自身用户空间切换到被授权的角色空间的操作。一个用户一旦被授予 STSAssumeRoleAccess 的权限,即可在其自身的用户空间和角色空间中进行切换,但一次只能切换到唯一的角色空间,切换到目标角色空间后,该用户当前只拥有目标角色权限。当前仅支持通过API的方式切换角色,详细操作请参考使用角色

    上一篇
    概述
    下一篇
    常见场景