文档中心

身份认证与访问管理IAM用户指南

最近更新时间：

2 基本概念

云账号
云账号是您资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置 IAM 用户密码、分配用户权限等。
IAM 用户
由云账号在 IAM 中创建的用户，云服务的使用人员，具有独立的身份凭证，根据 IAM 用户被云账号所授予的权限使用资源。
云账号与 IAM 用户的关系
云账号与 IAM 用户的关系可以类比为父子关系，云账号是资源归属和计费的整体，对其拥有的资源具有所有权限。IAM 用户是由云账号创建生成，只能拥有云账号授予的资源使用权限，云账号中可以随时修改或撤销 IAM 用户的使用权限，IMA 用户进行资源操作产生的费用统一计入云账号中，IAM 用户为资源付费。
授权
授权是将完成具体工作所需要的权限授权给用户，授权通过策略定义的权限策略生效。用户获得具体云服务的权限后，可以对云服务进行操作。
用户组
用户组是用户的集合，IAM 可以通过用户组功能实现用户的授权，您创建的 IAM 用户加入特性用户组后，将继承对应用户组的权限，当某个用户加入多个用户组时，此用户同时拥有多个用户组的权限。
权限策略
权限策略用于描述一组权限集，支持系统策略和自定义权限策略两种。
• 系统策略：统一由系统创建和维护，您只能使用而不能修改。
• 自定义策略：您自主创建、更新和删除，自定义策略的版本更新由您自己维护。
身份凭证
身份凭证时识别用户身份的依据，您通过控制台或者 API 访问系统时，需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥，你可以在 IAM 中管理自己以及云账号中 IAM 用户的身份凭证。
• 密码：常见的身份凭证，密码可以用来登录控制台，也可以调用 API 接口。
• 访问密钥：即 AK/SK（Access Key ID/Secret Access Key），调用 API 接口的身份凭证，不能直接用于登录控制台。
委托
委托是一种向您信任的实体进行授权的方法，实体用户可以是云账号、IAM 用户或某些云服务。委托功能通过短时间有效访问令牌（STS 令牌），实现更安全的访问权限管控。