目录 018-07-1 目录 目录产品概述基本概念产品设计思路支持 IAM 功能的金山云产品 / 服务使用场景集团公司集中管理子公司资源 ( 账号组 账号 ) 企业内部云计算资源的分权管理和使用 ( 账号 IAM 用户 ) 不同企业之间的资源操作与授权管理 ( 跨账号 角色 ) 快速入门为员工创建 IAM 用户 账号并授权创建 IAM 用户为 IAM 用户设置登录密码为 IAM 用户创建访问密钥为 IAM 用户添加授权策略查看 IAM 用户登录链接计费模式和开通说明 IAM 服务是否收费? 如何申请开通使用账号组和 IAM 服务? 术语说明 1 5 5 金山云 1/5
产品介绍 018-07-1 产品概述 基本概念 账号 ( 主账号 成员账号 ) 账号或称主账号是客户在金山云资源归属 资源计量 资源计费的主体 任何客户在使用金山云的服务前, 都需要首先注册生成一个金山云账号, 一般使用用户名作为账号的登录标识 账号是其名下所有云计算资源的所有者, 拥有名下全部资源的完全控制权限, 能够对资源进行购买 续费 退订 升级等操作, 拥有资源的订单 账单 ; 云计算资源可被所属账号随意操作访问 IAM 用户 ( 子账号 ) IAM 用户是账号下的授权实体, 也是归属于账号的一种资源 IAM 用户不拥有任何云计算资源 不能独立计量和计费, 只能被主账号授权管理其 名下的各种资源, 其所管理的资源归属于主账号 ( 由主账号付费 ), 且没有独立的账单 IAM 用户在获得主账号的授权后, 能够被设置密码和访问密钥, 从而登录控制台和使用 openapi 管理主账号的资源 角色 (role) IAM 角色是一种虚拟用户 ( 或影子账号 ), 它是 IAM 用户类型的一种 这种虚拟用户有确定的身份, 也可以被赋予一组权限 (Policy), 但它没有确定的身份认证密钥 ( 登录密码或 AccessKey) 与普通 IAM 用户的差别主要在使用方法上,IAM 角色需要被授信给云账号 ( 自己或其他云账号 ) 使用, 授信成功后云账号可依据实际情况赋予其下实体 ( 子账号 ) 扮演该角色, 由此实体可获得 IAM 角色的临时安全令牌, 使用这个临时安全令牌就能以角色身份访问被授权的资源, 此时实体身份所对应的访问权限将被隐藏 IAM 角色主要用于解决身份联盟 (Identity Federation) 相关需求, 比如联合您的企业本地账号实现 SSO (Single-Sign-On) 委托其他云账号及其下 IAM 用户操作您所控制的资源 委托云服务操作您所控制的资源 资源 (resource) 资源是金山云的客户操作或者使用云服务的对象实体, 比如云服务器实例 EIP 实例等 ; 为方便在 IAM 的策略文档中描述一个资源, 我们使用 KRN(Kingsoft Resource Name) 唯一标识一个金山云资源 操作 (action) 操作是金山云客户管理或者使用云计算资源动作, 可以分为管理操作和数据操作两大类 管理操作是对资源生命周期和运维的管理动作, 比如云服务器的创建 重启,KS 的 bucket 的创建等 数据操作是使用资源的动作, 比如在云服务器中安装部署软件, 在 KS 的 bucket 上上传 / 下载对象 管理操作都可以通过 IAM 进行授权控制, 数据操作只有存储类产品如 KS 才基于 IAM 进行授权控制 每种产品基于 IAM 所能够进行控制的操作参考该产品的 openapi 文档 产品设计思路 IAM 服务允许在一个金山云账号下创建并管理多个 IAM 用户身份, 并允许给每个 IAM 用户分配不同的授权策略 (Policy), 从而实现不同 IAM 用户管理一个账号下不同的云计算资源的功能 IAM 用户身份是指通过控制台或 openapi 操作金山云资源的人 系统或应用程序 IAM 目前只支持一种身份标识, 即 IAM 子用户 (User), 其有确定的身份和访问密钥, 通常与某个人或者应用程序对应 IAM 允许在金山云账号下创建并管理多个授权策略, 每个授权策略本质上是一组权限的集合 金山云账号可以将一个或多个授权策略分配给 IAM 用户 ( 默认情况下, 每个 IAM 用户最多授权 10 个策略 ) IAM 授权策略语言可以表达精细的授权语义, 可以指定对某个 openapi 操作 (Action) 和资源 (Resource) 授权 支持 IAM 功能的金山云产品 / 服务 产品 / 服务名称 英文缩写 控制台 o penapi 金山云 /5
产品介绍 018-07-1 内容分发网络 CDN 暂不支持支持 云主机 KEC 支持 ( 新版 ) 支持 虚拟专有网路 VPC 支持 ( 新版 ) 支持 弹性 IP EIP 支持 ( 新版 ) 支持 负载均衡 SLB 支持 ( 新版 ) 支持 身份与访问控制 IAM 支持支持 云物理主机 EPC 支持支持 托管 Hadop KMR 支持 ( 服务粒度 ) 支持 ( 服务粒度 ) 域名服务 DNS 支持支持 安全服务 KAS 支持 ( 服务粒度 ) 支持 ( 服务粒度 ) 共享带宽 BWS 支持支持 使用场景 集团公司集中管理子公司资源 ( 账号组 账号 ) 集团公司有多个子公司在金山云购买了云计算资源, 每个子公司的云资源互相隔离, 且财务独立核算, 集团公司希望能够具备统一管理并查看 这些公司云计算资源 订单和账单的权限 账号组 - 账号适用于这种场景, 既满足了资源隔离和财务独立核算的需求, 也能够让集团公司集中 管理 查询全部子公司的资源和财务情况 企业内部云计算资源的分权管理和使用 ( 账号 IAM 用户 ) 企业 Alice 在金山云购买多种云计算资源 ( 如 KEC 实例 /RDS 实例 /SLB 实例 /KS 存储等 ), 其不同部门的员工需要操作这些资源, 由于员工的职责不一样, 所需要的权限也不一样 为了降低企业信息安全风险, 企业 Alice 不希望共享其云账号的密码 / 访问密钥给所有需要的员工 ( 等于授权所有操作权限 ), 而是希望给每个员工能够完成其工作的最小管理权限的用户账号 ( 或称子账号 ), 且这些用户账号的权限可以灵活赋予和收回, 用户账号也可以被云账号随时禁用或删除 用户账号只有在授权后能够操作相应资源, 不需要独立的计量计费, 成本开销都归属于企业 Alice 账号 -IAM 用户适用于这种场景, 既满足了授权管理的需求, 也降低了共享账号的风险 不同企业之间的资源操作与授权管理 ( 跨账号 角色 ) 不同企业间需要进行云资源的共享 blue 公司购买了金山的多种云资源后, 将产品的运维工作转授给 carry 公司运营,carry 公司希望可以进一 步将 blue 的资源访问权限分配给员工 qian 或多个员工, 并能够精细化随时控制员工对 blue 赋予资源的操作权限 如果双方合同到期, Blue 公司 可以撤销对 carry 公司的授权 操作过程如下 : 一 blue 创建角色 D, 添加 carry 为授信云账号, 并附加角色 D 相应的策略 二 carry 创建子用 户 qian, 并附加 qian 去扮演 / 切换角色的权限 三 qian 拥有了操作云账号 blue 下角色 D 关联策略的权限 快速入门 为员工创建 IAM 用户 账号并授权 当需要给员工授权访问某金山云账户下的云计算资源时, 整体操作步骤如下 : 使用金山云主账户 / 密码登录控制台创建 IAM 用户为 IAM 用户设置登录密码或者创建访问密钥为 IAM 用户添加授权策略向员工提供 IAM 用户登录链接 URL 用户名和登录密码或者访问密钥员工使用 IAM 用户登录并使用控制台或者使用访问密钥调用 openapi 金山云 /5
产品介绍 018-07-1 创建 IAM 用户 选择 身份与管理 一级菜单 -> 选择 用户管理 二级菜单在 用户管理 列表页面, 点击 新建 按钮, 进入 创建用户 对话框, 如下图. 输入用户名后, 点击 确定 按钮, 完成 IAM 用户的创建 在创建 IAM 用户的同时可以选择为该 IAM 用户 生成 Accesskey 为 IAM 用户设置登录密码 选择 身份与管理 一级菜单 -> 选择 用户管理 二级菜单在 用户管理 列表页面, 点击某 IAM 用户名, 进入 用户详情 页面, 点击 开启控制台登录 按钮, 进入 重置密码 对话框, 如下图 可以选择系统自动生成或者手动输入用户密码, 并可以指定要求用户在下次登录时创建新密码 为 IAM 用户创建访问密钥 选择 身份与管理 一级菜单 -> 选择 用户管理 二级菜单在 用户管理 列表页面, 点击某 IAM 用户名, 进入 用户详情 页面, 在页面下半部分, 点击 用户 AK 密钥 Tab 页, 进入 访用户 AK 密钥 列表 tab 页, 点击 新建密钥 按钮, 如下图 可以选择直接显示安全凭证或者下载安全凭证, 即访问密钥的详细信息 为 IAM 用户添加授权策略 选择 身份与管理 一级菜单 -> 选择 用户管理 二级菜单在 用户管理 列表页面, 点击某 IAM 用户名, 进入 用户详情 页面, 在页面下半部分, 点击 已关联策略 Tab 页, 进入当前 IAM 用户 已关联策略 列表 tab 页, 点击 关联策略 按钮, 如下图 选择相应的系统或者自定义策略, 点击 确定 按钮, 将相应的策略授权到该用户 查看 IAM 用户登录链接 选择 身份与管理 一级菜单 -> 选择 概览 二级菜单 在 账户信息 页面, 能够看到当前账户的 IAM 用户登录链接, 将登录链接发给 IAM 用户所属者, 其可以使用 IAM 用户的登录入口来登录控制台并进行相应操作 计费模式和开通说明 IAM 服务是否收费? IAM 服务目前不收费 金山云 /5
产品介绍 018-07-1 如何申请开通使用账号组和 IAM 服务? IAM 服务针对所有金山云客户开放, 只要拥有金山云账号, 既可以登录控制台使用 IAM 的功能, 不需要额外的申请开通 创建 IAM 用户成功 后,IAM 用户可以通过 IAM 用户专用登录入口 : https://passport.ksyun.com/iam-login.html 登录使用 术语说明 术语 全称 中文 说明 Account Member Account 账号 ( 账户 ) 指一个金山云账号, 账号是资源的拥有者, 任何资源均隶属于某个账号 User IAM User 用户 指一个金山云账号下的 IAM 用户 ( 又称子用户 ), 子账号不拥有资源, 能够操作主账号授予 权限的资源 Role IAM Role 角色指一个金山云账号下创建的角色 金山云 KsyunId Ksyun LoginId 登录标识 指一个金山云账号的登录标识 Account Id Ksyun AccountId 金山云账户 ID 指一个金山云账户的 ID( 又称内标 ), 为最长 0 位的数字标识 Policy Authorization P olicy 策略 指一个金山云账号下的授权策略, 代表了一组权限 ( 目标操作 & 目标资源 ); 金山云支持全局系统策略和自定义策略 Policy Documen t Authorization P olicy Document 策略文档 是授权策略的具体表现形式, 目前为 json 格式的权限控制描述文档 IAM Identity and Ac cess Management 身份和访问控制 金山云的身份管理 认证 授权和访问控制服务 AK AccessKey 访问密钥 由 AccessKeyId 和 SecretAccessKey 组成, 用于 API 请求的身份认证 AKId AccessKeyId 访问密钥 ID 指一个访问密钥的唯一标识 SK SecretKey 私有访问密钥 指一个访问密钥的共享密钥, 用于 API 签名 Entity 实体指一种操作的发出者, 金山云目前支持两种实体 : 账号和 IAM 用户 KRN Kingsoft Resour ce Name 金山云资源名称 指金山云全局唯一的资源标识名称, 用于在策略文档中标识资源, 形如 krn:ksc:<servic e-name>:<region-name>:<account-id>:<resourcetype>/<resource-id> MFA Multi-Factor Au thentication 多因素身份验证 MFA 是在用户名 / 口令之外额外增加的一种认证措施, 因此能够提升用户账户的安全性 金山云目前提供虚拟 MFA 校验功能 Group(I am) IAM Group 用户群组 金山云多个相同职能的用户 (IAM 用户的集合 ) Project 项目 项目是零到多个确定资源 (KRN) 的集合, 等价于多个资源的 KRN,IAM 将账户下的资源进行逻辑划分 金山云 5/5