CDN加速

基本概念

更新时间:2021-03-07 13:46:49

本文IAM的基本概念,以帮助您正确理解与使用 IAM。

身份管理相关术语

主账号

主用户是网宿科技资源归属、资源使用计量计费的基本主体。当用户开始使用网宿科技服务时,首先需要注册一个主用户。主用户为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。默认情况下,资源只能被主用户(ResourceOwner)所访问,任何其他用户访问都需要获得主用户的显式授权。所以从权限管理的角度来看,主用户就是操作系统的 root 或 Administrator,所以我们有时称它为根账号或主账号。
账号统一接收所有IAM用户进行资源操作时产生的费用账单。账号在登录网宿科技控制台时,使用“账号登录”方式登录。
【新功能】云监控支持CDN带宽、请求数监控

IAM 用户 (IAM User)

IAM 允许在一个主用户下创建多个 IAM 用户(可以对应企业内的员工、系统或应用程序)。IAM 用户不拥有资源,没有独立的计量计费,这些用户由所属主用户统一控制和付费。IAM 用户是归属于主用户,只能在所属主用户的空间下可见,而不是独立的账户。IAM 用户必须在获得主用户的授权后才能登录控制台或使用 API 操作资源。

主账号和IAM用户的关系

账号与IAM用户属于父子关系,账号是资源归属以及计费的主体,对其拥有的资源具有所有权限。IAM用户由账号创建,只能拥有账号授予的资源使用权限,账号可以随时修改或者撤销IAM用户的使用权限。IAM用户进行资源操作时产生的费用统一计入账号中,IAM用户不需要为资源付费。

用户组(IAM UserGroup)

用户组是用户的集合,用户加入用户组之后,IAM通过对用户组的统一授权,从而让组内的IAM成员继承用户组的权限。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。

身份凭证 (Credential)

身份凭证是用于证明用户真实身份的凭据,它通常是指登录密码或访问密钥(AccessKey)。身份凭证是秘密信息,用户必须保护好身份凭证的安全。
登录名/密码 (Password):您可以使用登录名和密码登录网宿科技控制台,查看订单、账单或购买资源,并通过控制台进行资源操作。
访问密钥 (AccessKey):您可以使用访问密钥构造一个 API 请求(或者使用云服务 SDK)来操作资源。

访问控制相关术语

资源(Resource)

资源是网宿科技服务呈现给用户与之交互的对象实体的一种抽象,如 CDN的加速域名,WOS 存储桶或对象,ECS 实例等。我们为每个资源定义了一个全局的网宿科技资源名称,格式如下:
wsc:<service-name>:<region>:<account>:<relative-id>
格式说明:
wsc:Wangsu Console的首字母缩写,表示网宿科技控制台。
service-name:网宿科技产品名称,例如:wos。
region:地区信息。如果不支持该项,可放空或使用通配符"*"号来代替。
account:账号,即您的账号名(英文)。
relative-id:与 service 相关的资源描述部分,其语义由具体 service 指定。
以 WOS 为例,wsc:wos::sampleaccount:sample_bucket/file1.txt 表示公有云平台 WOS 资源,WOS 对象名称是 sample_bucket/file1.txt,对象的 Owner 是 sampleaccount。

权限(Permission)

权限分为:允许(Allow)或拒绝(Deny)一个用户对某种资源执行某种操作。

权限策略(Policy)

权限策略是描述权限集的一种简单语言规范(IAM 支持的语言规范请参见 语法结构 )。
IAM具有两种来源的权限策略:网宿科技控制台管理的系统策略和客户管理的自定义策略 。
对于网宿科技管理的系统策略 ,用户只能使用,不能修改,网宿科技会自动完成系统访问策略的版本更新。
对于客户管理的自定义策略,用户可以自主创建和删除,策略由客户自己维护。
IAM按创建方式不同,存在三种类型的权限策略:表达式策略、功能策略、资源策略。

  • 表达式策略:以IAM语言规范,支持以表达式的方式,对特定资源指定特定操作的权限。
  • 功能策略:与资源策略配套使用。通过可视化界面勾选策略所需的功能权限,将控制台上的功能进行封装。
  • 资源策略:与功能策略配套使用。目前资源仅包含加速域名,即将所选的资源封装成一条策略,用以授权使用。