访问鉴权管理(Identity and Access Management,IAM) 是一款在云平台上提供身份识别和访问控制的 Web 服务。通过使用 IAM 来统一管理和控制接入实体的认证和授权,能更安全地自主管控本账户下的任意资源访问权限。

使用者将需要自行通过 IAM 来定义 Who (谁可以接入访问)、How(如何接入访问)、What(接入访问后能干什么),其中 WhoHow 将由 IAM 身份来定义,What 将取决于 IAM 策略的配置。

IAM 的作用与特点

共享访问

您可以通过配置 IAM ,向您的云平台资源或其他云平台账户授予权限来管理和使用您账户中的资源,而不必共享您的账户密码或 API Access Key。

例如,您可以允许您的云服务器中创建的应用通过集成官方 SDK 获取身份凭证信息,随后即可在应用中直接调用云平台 API/CLI 以访问其他资源。

请参阅:最佳实践①:免密钥应用开发

精细权限

您可以通过配置 IAM ,向不同的身份实体授予不同的资源访问权限。

例如,您可以允许您的子账户 A 通过代入您赋予的身份完全访问您账户中的弹性云服务器服务(支持创建、启停或销毁云服务器等),而同时允许系统中的另一个账户 B 通过代入您赋予的身份仅具备查看某个特定云服务器信息的权限。

请参阅:最佳实践②:跨账号管理协作