帮助与支持

1用户与访问控制(IAM)服务产品介绍

用户与访问控制(IAM)服务是一项web服务,乐视云客户可以使用此服务在乐视云中管理用户与用户可访问的业务线权限。

Who--- where---permission---object

(用户---业务线---权限---权限作用对象)


2适用于下列使用场景

1)    企业子账号管理与分权:

企业A使用乐视云账号开通了CDN业务线,A的员工需要操作这些云资源包括购买域名、运维域名、线上应用域名等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的账号密码直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。

3支持的云服务列表

目前紧支持CDN云服务

4用户与访问控制服务术语

策略

授权策略描述了权限,当策略与用户或者用户组关联后,则该用户可获得策略所描述的权限。

用户通过策略文件定义子账号的资源和权限,通过自定义策略用户可以更精准的控制权限和资源。

一条策略由服务类型、功能、对象三个因素组成:

策略由多组权限组成,每个策略由【业务】【功能】【对象】共同描述了多个权限。

例如某条策略:在CDN云服务(业务)--添加(功能)---域名(对象)

业务(云服务):选择要设置的权限类型,如 CDN;

功能:选择允许的 CDN 操作,如查询消耗、配置管理等,详情参考CDN功能权限说明;

对象:指功能的作用域,即云资源,例如:CDN通过域名表示云资源。

云账户(主账户,对应一个主账号)

云账户是乐视云资源归属、资源使用计量计费的基本主体。当用户开始使用乐视云服务时,首先需要注册一个主账号。主账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全权限。默认情况下,资源只能被属主(ResourceOwner)所访问,任何其他用户访问都需要获得属主的显式授权。所以从权限管理的角度来看,主账号就是操作系统的 root 或 Administrator,所以我们有时称它为“根账户”或“主账户”。

IAM用户

特点:

1)用户与访问控制服务允许在一个主账号下创建多个IAM用户(可以对应企业内的员工)

2)所有IAM用户的资源都隶属于主账号。尽管IAM用户可以使用资源,但计费主体依然是主账号。

3)IAM用户可以独立使用管理控制台I。

4)IAM用户不拥有资源,在被授权操作时所创建的资源归属于主账户(不能够购买其他云服务的)

5)IAM用户不拥有账单,被授权操作时所发生的费用也计入主账户账单,没有独立的计量计费。

6)主账户可以对IAM用户进行授权,在IAM里授权是通过给IAM用户关联策略来完成的,一个IAM用户可以关联多个策略。

7)当IAM用户访问主用户资源时,只要主账号给IAM用户的授权里允许该操作即可放行;

8)IAM用户目前有一种类型:控制台使用类

用户组

用户组是为方便管理,将多个拥有相同或相似权限的IAM用户归为一类,批量统一的进行权限划分,更多用户组相关操作请参考用户组管理。