本文IAM的基本概念，以帮助您正确理解与使用 IAM。

身份管理相关术语

主账号

主用户是网宿科技资源归属、资源使用计量计费的基本主体。当用户开始使用网宿科技服务时，首先需要注册一个主用户。主用户为其名下所拥有的资源付费，并对其名下所有资源拥有完全控制权限。默认情况下，资源只能被主用户（ResourceOwner）所访问，任何其他用户访问都需要获得主用户的显式授权。所以从权限管理的角度来看，主用户就是操作系统的 root 或 Administrator，所以我们有时称它为根账号或主账号。
账号统一接收所有IAM用户进行资源操作时产生的费用账单。账号在登录网宿科技控制台时，使用“账号登录”方式登录。

IAM 用户 (IAM User)

IAM 允许在一个主用户下创建多个 IAM 用户（可以对应企业内的员工、系统或应用程序）。IAM 用户不拥有资源，没有独立的计量计费，这些用户由所属主用户统一控制和付费。IAM 用户是归属于主用户，只能在所属主用户的空间下可见，而不是独立的账户。IAM 用户必须在获得主用户的授权后才能登录控制台或使用 API 操作资源。

主账号和IAM用户的关系

账号与IAM用户属于父子关系，账号是资源归属以及计费的主体，对其拥有的资源具有所有权限。IAM用户由账号创建，只能拥有账号授予的资源使用权限，账号可以随时修改或者撤销IAM用户的使用权限。IAM用户进行资源操作时产生的费用统一计入账号中，IAM用户不需要为资源付费。

用户组（IAM UserGroup）

用户组是用户的集合，用户加入用户组之后，IAM通过对用户组的统一授权，从而让组内的IAM成员继承用户组的权限。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。

身份凭证 (Credential）

身份凭证是用于证明用户真实身份的凭据，它通常是指登录密码或访问密钥（AccessKey）。身份凭证是秘密信息，用户必须保护好身份凭证的安全。
登录名/密码 (Password）：您可以使用登录名和密码登录网宿科技控制台，查看订单、账单或购买资源，并通过控制台进行资源操作。
访问密钥 (AccessKey）：您可以使用访问密钥构造一个 API 请求（或者使用云服务 SDK）来操作资源。

访问控制相关术语

资源（Resource）

资源是网宿科技服务呈现给用户与之交互的对象实体的一种抽象，如 CDN的加速域名，WOS 存储桶或对象，ECS 实例等。我们为每个资源定义了一个全局的网宿科技资源名称，格式如下：
wsc:<service-name>:<region>:<account>:<relative-id>
格式说明：
wsc：Wangsu Console的首字母缩写，表示网宿科技控制台。
service-name：网宿科技产品名称，例如：wos。
region：地区信息。如果不支持该项，可放空或使用通配符"*"号来代替。
account：账号，即您的账号名（英文）。
relative-id：与 service 相关的资源描述部分，其语义由具体 service 指定。
以 WOS 为例，wsc:wos::sampleaccount:sample_bucket/file1.txt 表示公有云平台 WOS 资源，WOS 对象名称是 sample_bucket/file1.txt，对象的 Owner 是 sampleaccount。

权限（Permission）

权限分为：允许（Allow）或拒绝（Deny）一个用户对某种资源执行某种操作。

权限策略（Policy）

权限策略是描述权限集的一种简单语言规范（IAM 支持的语言规范请参见 语法结构 ）。
IAM具有两种来源的权限策略：网宿科技控制台管理的系统策略和客户管理的自定义策略 。
对于网宿科技管理的系统策略 ，用户只能使用，不能修改，网宿科技会自动完成系统访问策略的版本更新。
对于客户管理的自定义策略，用户可以自主创建和删除，策略由客户自己维护。