子用户
子用户与主账号是子父关系,子用户所创建的资源以及使用的资源均属于主账号,子用户的资源账单也归属主账号不支持独立出账;
主账号有独立的Account ID在系统中进行识别,子用户通过Account ID与独立的User ID进行身份识别;
用户组
用户组是子用户的集合,子用户加入特定用户组后,将具备对应用户组的权限,可以基于权限对云服务进行操作。当某个子用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。系统默认自带“Admin”缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
权限策略
默认情况下,管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组,并给用户组授予策略或角色,用户组中的用户将获得用户组的权限。同时,用户也可以为自身授予权限。这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
策略:系统提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制子用户仅能对某一类云服务器资源进行指定的管理操作。每一条策略对应一组驼峰三元组,类似“ecs:cloudservers:list”,配置该三元组的用户组及拥有云主机列表页面查看的权限;
企业项目
企业项目是对主账号下的资源进行统一分配管理的工具,不同企业项目下的资源相互逻辑隔离,但不影响业务关联;在不同企业项目下的用户组,相互间无法看到彼此资源;同一个用户组可以绑定多个企业项目;
用户组通过绑定企业项目实现资源的逻辑隔离,策略通过绑定用户组,实现不同用户组的权限分配;