IAM 作为百度智能云的身份和访问控制服务，提供了集中管理云平台产品服务权限的功能，相应云服务都需要接入IAM，从而实现产品内的权限管控。本文档将详细介绍已经接入IAM服务的云产品，其支持的权限颗粒度、相关使用文档等。IAM目前主要为云产品线提供2种主要类型的服务：

• 多用户访问控制（IAM），主要解决主子用户的身份、授权、鉴权等问题；
• 临时身份凭证（STS），IAM 为产品或服务提供的临时身份管理服务。

平台模块权限

平台策略主要描述的百度智能云平台通用服务模块的策略，包含但不限于系统层级的管理员、运维、只读，财务、工单、证书管理等服务模块，平台策略属于IAM的系统策略。

权限名称	策略说明	相关文档
系统管理员权限	拥有管理所有百度智能云资源的权限	-
系统运维权限	包括接入鉴权运维类的所有产品线	-
系统只读权限	包括接入鉴权只读类的所有产品线	-
财务权限	拥有查看、支付、取消订单的权限	-
证书管理	支持证书只读、运维权限	证书管理
工单系统管理员(TicketFullControlPolicy)	管理全局工单的权限。支持创建工单，以及查看、回复、删除账户下全部工单	-
工单基础管理权限(TicketUserControlPolicy)	管理子用户自身工单的权限。支持创建工单，以及查看、回复、删除当前登录子用户工单	-
IAM系统管理员(IAMFullControlAccessPolicy)	拥有管理多用户访问控制的权限	-
IAM只读权限(IAMReadAccessPolicy)	拥有只读多用户访问控制的权限，包含访问报告的下载权限	-
AK管理权限(IAMManageAccessKeyPolicy)	增删管理子用户自身AccessKey的权限，创建子用户时，如勾选了使用编程方式访问，则默认授予该子用户当前权限	-
云审计管理权限	拥有管理云审计记录、下载审计日志、管理跟踪等所有权限	-
云审计只读权限	拥有管理云审计记录、下载审计日志、查看跟踪等只读权限	-

已接入IAM的产品服务说明

本节将描述已接入IAM和STS的产品服务，如下表格中字段的意义说明如下：

• 产品名称：百度智能云产品服务的中文+英文简称；
• 权限粒度：包含服务级和资源级，服务级表示将云产品作为一个整体授权，资源级表示可以精确授权到一个云产品下的实例，比如某台BCC服务器；
• 系统支持操作权限：服务级权限粒度下，云产品所支持的系统策略；
• 临时身份凭证(STS): “ ✅”表示支持，“-”表示不支持；
• 标签授权： 可以根据所选标签，筛选所需要授权的权限和资源，“ ✅”表示支持，“-”表示不支持；
• 相关文档：有链接表示当前产品已关联了相应权限说明文档，“-”表示暂无。

计算

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	标签授权	相关文档
云服务器 BCC	资源级	只读、运维、管理权限	✅	✅	BCC
专属服务器 DCC	资源级	只读、运维、管理权限	✅	✅	-
物理服务器 BBC	资源级	支持只读、运维权限	✅	-	-
容器引擎 CCE	资源级	开发、运维、管理权限	✅	-	CCE
应用引擎专业版 BAEPRO	资源级	-	✅	-	BAEPRO
函数计算 CFC	服务级	只读、管理权限	-	-	-
轻量应用服务器 LS	资源级	只读、运维、管理权限	-	-	LS

网络

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
弹性公网IP EIP	资源级	只读、运维、管理权限	✅	✅	EIP
共享带宽 EIPGROUP	资源级	只读、运维、管理权限	✅	-	EIPGROUP
EIP带宽包 EIP_BP	服务级	只读、运维、管理权限	-	-	EIP_BP
负载均衡 BLB	资源级	只读、运维、管理权限	✅	✅	BLB
私有网络 VPC	资源级	只读、运维、管理权限	✅	✅	NETWORK
子网 subnet	资源级	只读、运维、管理权限	✅	-	subnet
安全组securityGroup	资源级	只读、运维、管理权限	✅	✅	安全组
访问控制列表 ACL	资源级	只读、运维权限	✅	-	ACL
路由表Route	资源级	只读、运维权限	✅	-	路由表
专线网关	资源级	只读、运维、管理权限	✅	-	专线网关
VPN 网关	资源级	只读、运维、管理权限	✅	-	VPN网关
NAT网关	资源级	只读、运维、管理权限	✅	-	NAT网关
IPv6 公网网关	资源级	只读、运维、管理权限	-	-	IPv6
对等连接 PEERCONN	资源级	只读、运维、管理权限	✅	-	对等连接
专线ET	服务级	只读、运维、管理权限	-	-	专线ET
智能网络接入服务 SMART_WAN	服务级	运维、管理权限	-	-	-
云智能网络 CSN	服务级	管理权限	-	-	-
解析器 RESOLVER	服务级	只读、运维、管理权限	-	-	DNS

安全和管理

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
流量审计 IDS	资源级	只读、运维权限	-	-	-
应用防火墙 WAF	资源级	只读、运维权限	✅	-	-
主机安全客户端 HOSTEYE	资源级	只读、运维、管理权限	-	-	-
DDoS高防服务 ADAS	服务级	只读、运维、管理权限	✅	-	-
业务安全风控 AFD	资源级	管理权限	-	-	AFD
安全检测服务 SRD	资源级	只读、运维、管理权限	✅	-	SRD
云审计 BCT	服务级	只读、管理权限	-	-	-
史宾格安全及隐私合规助手 SPRINGER	服务级	管理权限	-	-	SPRINGER
云防火墙 CFW	服务级	只读、管理权限	-	-	-

存储和CDN

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
对象存储 BOS	资源级	只读、管理权限	✅	✅	BOS
云磁盘 CDS	资源级	只读、运维、管理权限	✅	✅	-
内容分发网络 CDN	资源级	只读、运维、管理权限	✅	✅	CDN
文件存储 CFS	资源级	只读、运维、管理权限	-	-	CFS
百度表格服务 BTS	资源级	只读、运维权限	-	-	BTS
边缘计算节点 BEC	服务级	只读、运维、管理权限	-	-	-

数据分析

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
百度MapReduce BMR	资源级	-	✅	-	BMR
百度Elasticsearch BES	资源级	只读、运维、管理权限	✅	-	BES
百度消息服务 BMS	资源级	只读、运维、管理权限	-	-	BMS
百度日志服务 BLS	资源级	只读、运维、管理权限	-	-	BLS

数据库

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
关系型数据库 RDS	资源级	只读、运维、管理权限	✅	✅	RDS
简单缓存服务 SCS	资源级	只读、运维、管理权限	✅	✅	SCS
文档数据库 MongoDB	资源级	只读、运维、管理权限	-	-	MongoDB
数据库审计 DBAudit	服务级	只读、运维、管理权限	-	-	DBAudit
云原生数据库 GaiaDB-S	资源级	只读、运维、管理权限	-	-	GaiaDB-S
数据传输服务 DTS	服务级	支持只读、运维、管理权限	-	-	DTS

智能多媒体服务

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
音视频直播 LSS	服务级	只读、管理权限	✅	-	-
音视频点播 VOD	服务级	管理权限	✅	-	-
音视频转码 MCT	服务级	管理、只读权限	✅	-	-
视频内容审核 VCR	服务级	只读、管理权限	✅	-	-

物联网服务

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
云秘智能客服 CVCA	资源级	-	-	-	-
时序数据库 TSDB	资源级	-	✅	-	TSDB
百度智能边缘 BIE	资源级	只读、管理权限	-	-	BIE

网站服务

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
云主机管家服务 HME	服务级	支持只读、管理权限	-	-	-
智能流量管理 ITM	服务级	支持只读、管理权限	-	-	ITM
域名服务 BCD	服务级	支持只读、运维、管理权限	✅	-	-

应用服务

产品名称	权限粒度	系统支持操作权限	临时身份凭证(STS)	基于标签授权	相关文档
简单消息服务 SMS	服务级	支持只读、管理权限	✅	-	-