在使用IAM服务前，你需要了解和熟悉IAM服务的关键概念，这对于你能针对企业的实际情况灵活地运用IAM的能力至关重要。IAM主要解决云账户的身份管理和访问控制问题，其相关概念也将围绕这两个方面展开。

身份体系

账户
百度智能云上的最小资源隔离和计费主体，是客户云上资源的集合和拥有者。客户在智能云控制台上注册时自动生成，未来用于云资源管理、出账单等的独立空间。

主用户
客户云账户创建时，由系统自动创建的超级管理员用户。由于主用户拥有云账户的所有权限，为保证账户资源的安全，强烈建议不要直接使用主用户直接管理你的云账户，建议使用主用户创建管理员子用户进行后续的资源管理和操作。

子用户
IAM 身份体系下一种用户，用于共享或协作主用户的云上资源。用户名在账户下唯一。子用户可以是人、也可以是服务或应用程序，即子用户可以通过账号密码的方式登录控制台，也可以使用API通过编程访问的方式访问账户内云资源。

消息接收人
IAM 身份体系下一种特殊用户，仅用做消息的接收，不能通过任何方式访问云账户内资源，常用于主用户将特殊的智能云消息发送给其企业和团队内的成员。子用户默认具备消息接收人的属性。

用户组
拥有相同职能子用户或消息接收人的集合。为用户组授权，组内的用户将自动继承组拥有的所有权限。一个子用户同时加入多个用户组。你可以将新入职的员工加入特定用户组，以快速获得相应职能的所有权限，对于转岗的员工，也可以直接将其从用户组中移除，以移除其不需要的权限。

角色
IAM角色是一种虚拟身份，同用户身份一样，可以关联权限对资源进行操作，但它没有确定的身份认证密钥，且需要被一个受信的实体用户扮演才能正常使用。

联合身份
企业已有自己的身份系统，作为身份服务提供商(IdP),以百度智能云为服务提供商(SP)，使用企业的身份账号可单点登录进入百度智能云。通常与角色结合使用，用于访问账户内的云资源。

用户凭证
与用户关联的安全凭证，用于验证用户身份。IAM的用户凭证当前分为如下三类

• 用户密码：密码的设定取决于用户是否需要登录控制台；
• AccessKey：用户通过编程访问控制台时的凭证，用于访问API或使用SDK时做签名验证；
• Token：临时授权的场景下，Token由STS服务提供给扮演角色的用户。

访问控制

权限
允许或拒绝一个用户对某种资源执行某种操作。比如，资源管控：创建、删除一台BCC服务器；资源运维操作：停止、重启BCC服务器，不涉及资源生命周期的变更；只读：查看。

策略
用户权限的集合，定义了用户对云账户内的资源可以进行什么操作。

策略语法
策略的描述，每条策略关联一条 ACL，JSON格式。

资源
云服务呈现给用户与之交互的对象实体的一种抽象，如BCC实例，BOS存储桶。

策略与身份
策略可以被关联到用户、用户组、角色，通过策略实现对云资源的访问控制。