身份与访问控制(IAM)简介

滴滴云技术支持发表于:2019年09月02日 14:37:02更新于:2020年03月30日 15:53:13

身份与访问控制(Identity and Access Management,简称IAM)是滴滴云为客户提供的用户身份管理与资源访问控制的Web服务,可以帮助您控制对滴滴云资源的访问。该服务免费,不另行收费。


相关概念

主账号:通过手机号注册成功的滴滴云账号,也叫根账号。在开始使用滴滴云时,用户首先需要注册一个账号,该账号是滴滴云资源使用计费的基本主体,为其名下所有资源付费,并对其名下所有资源拥有所有访问权限。

子用户:子用户是一种实体身份,有确定的身份ID和身份凭证。子用户归属于主账号,只能在所属主账号的空间下可见,不是独立的主账号。一个主账号下可以创建多个子用户,子用户不拥有资源,所产生的费用由所属主账号统一付费。子用户所能访问的资源与拥有的权限由主账号控制与授权。

用户组:子用户的集合。您可以根据业务需求创建不同的用户组,为用户组关联适当的策略,以分配不同权限。

身份凭证:证明用户身份真实性的凭证。作为隐私信息,用户必须妥善保管。

  • 登录名/密码:您可以使用控制台和密码登录滴滴云控制台访问相关资源和服务。

  • 访问密钥:您可以使用AuthToken访问密钥访问Open API访问相关资源和服务。

权限:权限指用户对资源进行访问或操作的许可,权限分为:允许(Allow)或拒绝(Deny)。

策略:策略是定义和描述一条或多条权限的语法规范。主账号通过将策略关联到子用户或用户组完成授权。IAM 支持两种类型的策略:系统策略和自定义策略。

  • 系统策略:由滴滴云创建,用户只能使用不能修改和删除,策略的内容更新由滴滴云维护。

  • 自定义策略:由用户创建、管理、删除。策略的内容由用户自己定义。


主要功能

  • 对主账号资源的访问共享:可以授权其他用户管理主账号中的资源,而不必共享主账号的身份凭证。

  • 精细化的权限管理:可以针对不同资源向不同人员授予不同权限。

  • 统一账单:IAM用户所产生的所有费用都由主账号承担支付。

  • 最终一致性:IAM 通过数据中心中的多个服务器之间复制数据来实现高可用性,跨地域策略同步会导致策略生效延迟。


产品优势

通过IAM,您可以创建、管理、删除IAM子用户,并通过策略授予控制这些子用户对资源的操作权限。当您需要存在多用户协同管理资源时,可以使用IAM在不共享您的身份凭证的情况下,实现按需分配最小权限,降低信息安全的风险。


应用场景

某企业在滴滴云拥有多种云资源,包括:DC2、EBS、VPC、S3等。

企业中有不同职能的员工,包括开发、测试、运维等。

开发人员需要拥有相关开发云资源的读写权限,测试人员需要拥有相关测试云资源的读写权限,运维人员负责所有云资源的日常运营。

企业主账号的拥有者,可以根据人员变动,随时调整变更每个子用户的资源访问权限。

滴滴云-IAM-场景1.png

使用限制

限制分类限制项限制值
子用户一个主账号中可创建的子用户数不限
一个子用户可加入的用户组数不限
一个子用户可创建的 AuthToken ID数5
一个子用户可以关联的系统策略数不限
一个子用户可以关联的自定义策略数不限
用户组一个主账号中可创建的用户组数5
一个用户组可关联的系统策略数不限
一个用户组可关系的自定义策略数不限
自定义策略一个主账号中可创建的自定义策略数量不限


支持IAM的产品

IAM已经支持多数滴滴云产品服务进行权限管理,具体维度包括策略语法、云 API、控制台、授权粒度。“✔”表示支持,“-”表示暂不支持。

服务

策略语法

云 API

控制台

授权粒度

云服务器资源级
云盘资源级
快照资源级
弹性公网IP资源级
专有网络资源级
负载均衡资源级
安全组资源级
身份与访问控制-资源级


IAM访问方式

您可以通过以下任何一种方式访问IAM。

  • 管理控制台

    您可以通过基于浏览器的可视化界面,即控制台访问IAM。

  • REST API

    您可以使用IAM提供的REST API接口以编程方式访问IAM。