身份与访问控制(Identity and Access Management,简称IAM)是滴滴云为客户提供的用户身份管理与资源访问控制的Web服务,可以帮助您控制对滴滴云资源的访问。该服务免费,不另行收费。
相关概念
主账号:通过手机号注册成功的滴滴云账号,也叫根账号。在开始使用滴滴云时,用户首先需要注册一个账号,该账号是滴滴云资源使用计费的基本主体,为其名下所有资源付费,并对其名下所有资源拥有所有访问权限。
子用户:子用户是一种实体身份,有确定的身份ID和身份凭证。子用户归属于主账号,只能在所属主账号的空间下可见,不是独立的主账号。一个主账号下可以创建多个子用户,子用户不拥有资源,所产生的费用由所属主账号统一付费。子用户所能访问的资源与拥有的权限由主账号控制与授权。
用户组:子用户的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。
身份凭证:证明用户身份真实性的凭证。作为隐私信息,用户必须妥善保管。
登录名/密码:您可以使用控制台和密码登录滴滴云控制台访问相关资源和服务。
访问密钥:您可以使用AuthToken访问密钥访问Open API访问相关资源和服务。
权限:权限指用户对资源进行访问或操作的许可,权限分为:允许(Allow)或拒绝(Deny)。
策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到子用户或用户组完成授权。IAM 支持两种类型的策略:系统策略和自定义策略。
系统策略:由滴滴云创建,用户只能使用不能修改和删除,策略的内容更新由滴滴云维护。
自定义策略:由用户创建、管理、删除。策略的内容由用户自己定义。
主要功能
对主账号资源的访问共享:可以授权其他用户管理主账号中的资源,而不必共享主账号的身份凭证。
精细化的权限管理:可以针对不同资源向不同人员授予不同权限。
统一账单:IAM用户所产生的所有费用都由主账号承担支付。
最终一致性:IAM 通过数据中心中的多个服务器之间复制数据来实现高可用性,跨地域策略同步会导致策略生效延迟。
产品优势
通过IAM,您可以创建、管理、删除IAM子用户,并通过策略授予控制这些子用户对资源的操作权限。当您需要存在多用户协同管理资源时,可以使用IAM在不共享您的身份凭证的情况下,实现按需分配最小权限,降低信息安全的风险。
应用场景
某企业在滴滴云拥有多种云资源,包括:DC2、EBS、VPC、S3等。
企业中有不同职能的员工,包括开发、测试、运维等。
开发人员需要拥有相关开发云资源的读写权限,测试人员需要拥有相关测试云资源的读写权限,运维人员负责所有云资源的日常运营。
企业主账号的拥有者,可以根据人员变动,随时调整变更每个子用户的资源访问权限。
使用限制
| 限制分类 | 限制项 | 限制值 |
| 子用户 | 一个主账号中可创建的子用户数 | 不限 |
| 一个子用户可加入的用户组数 | 不限 | |
| 一个子用户可创建的 AuthToken ID数 | 5 | |
| 一个子用户可以关联的系统策略数 | 不限 | |
| 一个子用户可以关联的自定义策略数 | 不限 | |
| 用户组 | 一个主账号中可创建的用户组数 | 5 |
| 一个用户组可关联的系统策略数 | 不限 | |
| 一个用户组可关系的自定义策略数 | 不限 | |
| 自定义策略 | 一个主账号中可创建的自定义策略数量 | 不限 |
支持IAM的产品
IAM已经支持多数滴滴云产品服务进行权限管理,具体维度包括策略语法、云 API、控制台、授权粒度。“✔”表示支持,“-”表示暂不支持。
服务 | 策略语法 | 云 API | 控制台 | 授权粒度 |
|---|---|---|---|---|
| 云服务器 | ✔ | ✔ | ✔ | 资源级 |
| 云盘 | ✔ | ✔ | ✔ | 资源级 |
| 快照 | ✔ | ✔ | ✔ | 资源级 |
| 弹性公网IP | ✔ | ✔ | ✔ | 资源级 |
| 专有网络 | ✔ | ✔ | ✔ | 资源级 |
| 负载均衡 | ✔ | ✔ | ✔ | 资源级 |
| 安全组 | ✔ | ✔ | ✔ | 资源级 |
| 身份与访问控制 | ✔ | - | ✔ | 资源级 |
IAM访问方式
您可以通过以下任何一种方式访问IAM。
管理控制台
您可以通过基于浏览器的可视化界面,即控制台访问IAM。
REST API
您可以使用IAM提供的REST API接口以编程方式访问IAM。