多用户访问控制

    概念

    在使用IAM服务前,你需要了解和熟悉IAM服务的关键概念,这对于你能针对企业的实际情况灵活地运用IAM的能力至关重要。IAM主要解决云账户的身份管理和访问控制问题,其相关概念也将围绕这两个方面展开。

    身份体系

    账户
    百度智能云上的最小资源隔离和计费主体,是客户云上资源的集合和拥有者。客户在智能云控制台上注册时自动生成,未来用于云资源管理、出账单等的独立空间。

    主用户
    客户云账户创建时,由系统自动创建的超级管理员用户。由于主用户拥有云账户的所有权限,为保证账户资源的安全,强烈建议不要直接使用主用户直接管理你的云账户,建议使用主用户创建管理员子用户进行后续的资源管理和操作。

    子用户
    IAM 身份体系下一种用户,用于共享或协作主用户的云上资源。用户名在账户下唯一。子用户可以是人、也可以是服务或应用程序,即子用户可以通过账号密码的方式登录控制台,也可以使用API通过编程访问的方式访问账户内云资源。

    消息接收人
    IAM 身份体系下一种特殊用户,仅用做消息的接收,不能通过任何方式访问云账户内资源,常用于主用户将特殊的智能云消息发送给其企业和团队内的成员。子用户默认具备消息接收人的属性。

    用户组
    拥有相同职能子用户或消息接收人的集合。为用户组授权,组内的用户将自动继承组拥有的所有权限。一个子用户同时加入多个用户组。你可以将新入职的员工加入特定用户组,以快速获得相应职能的所有权限,对于转岗的员工,也可以直接将其从用户组中移除,以移除其不需要的权限。

    角色
    IAM角色是一种虚拟身份,同用户身份一样,可以关联权限对资源进行操作,但它没有确定的身份认证密钥,且需要被一个受信的实体用户扮演才能正常使用。

    联合身份
    企业已有自己的身份系统,作为身份服务提供商(IdP),以百度智能云为服务提供商(SP),使用企业的身份账号可单点登录进入百度智能云。通常与角色结合使用,用于访问账户内的云资源。

    用户凭证
    与用户关联的安全凭证,用于验证用户身份。IAM的用户凭证当前分为如下三类

    • 用户密码:密码的设定取决于用户是否需要登录控制台;
    • AccessKey:用户通过编程访问控制台时的凭证,用于访问API或使用SDK时做签名验证;
    • Token:临时授权的场景下,Token由STS服务提供给扮演角色的用户。

    访问控制

    权限
    允许或拒绝一个用户对某种资源执行某种操作。比如,资源管控:创建、删除一台BCC服务器;资源运维操作:停止、重启BCC服务器,不涉及资源生命周期的变更;只读:查看。

    策略
    用户权限的集合,定义了用户对云账户内的资源可以进行什么操作。

    策略语法
    策略的描述,每条策略关联一条 ACL,JSON格式。

    资源
    云服务呈现给用户与之交互的对象实体的一种抽象,如BCC实例,BOS存储桶。

    策略与身份
    策略可以被关联到用户、用户组、角色,通过策略实现对云资源的访问控制。

    上一篇
    产品概述
    下一篇
    产品功能