使用企業項目管理服務時常用的基本概念包括：帳號、IAM用戶、帳號與IAM用戶的關系、用戶組、授權、權限、身份憑證、IAM項目、企業項目。

賬號

當您首次使用天翼云時注冊的帳號，該帳號是您的資源歸屬、資源使用計費的主體，對其所擁有的資源及云服務具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。

帳號不能在IAM中修改和刪除，您可以在天翼云網門戶“個人中心”修改帳號信息，如果您需要刪除帳號，可以在“個人中心”進行注銷。

IAM用戶

由帳號在IAM中創建的用戶，一般為具體云服務的使用人員，具有獨立的身份憑證（密碼和訪問密鑰），根據帳號授予的權限使用資源。

如果您忘記了IAM用戶的登錄密碼，可以在天翼云網門戶“賬號中心 > 子用戶”中重置密碼。

帳號與IAM用戶的關系

帳號與IAM用戶可以類比為父子關系，帳號是資源歸屬以及計費主體，對其擁有的資源具有所有權限。IAM用戶由帳號創建，只能擁有帳號授予的資源使用權限，帳號可以隨時修改或者撤銷IAM用戶的使用權限。

圖 賬號與IAM用戶

授權

授權是您將完成具體工作所需要的權限授予IAM用戶，授權通過定義權限策略生效，通過給用戶組授予策略（包括系統策略和自定義策略），用戶組中的用戶就能獲得策略中定義的權限，這一過程稱為授權。用戶獲得具體云服務的權限后，可以對云服務進行操作，例如，管理您帳號中的ECS資源。

圖 授權

用戶組

用戶組是用戶的集合，IAM通過用戶組功能實現用戶的授權。您創建的IAM用戶，需要加入特定用戶組后，才具備對應的權限，否則IAM用戶無法訪問您帳號中的任何資源或者云服務。當某個用戶加入多個用戶組時，此用戶同時擁多個用戶組的權限，即多個用戶組權限的全集。

“admin”為系統缺省提供的用戶組，具有所有云服務資源的操作權限。將IAM用戶加入該用戶組后，IAM用戶可以操作并使用所有云資源，包括但不僅限于創建用戶組及用戶、修改用戶組權限、管理資源等。

圖 用戶組與用戶

權限

如果您僅授予IAM用戶ECS的權限，則該IAM用戶除了ECS，不能訪問其他任何服務，如果嘗試訪問其他服務，系統將會提示沒有權限。

圖 系統提示沒有權限

權限根據授權的精細程度，分為策略和角色。

• 角色：角色是IAM早期提供的一種粗粒度的授權能力，當前有部分云服務不支持基于角色的授權。角色不能全部滿足用戶對精細化授權的要求。
• 策略：策略是IAM提供的最新細粒度授權能力，可以精確到具體操作、條件等。使用基于策略的授權是一種更加靈活地授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對ECS服務，管理員能夠控制IAM用戶僅能對某一類云主機資源進行指定的管理操作。
  • 策略包含系統策略和自定義策略。
    • 云服務在IAM預置了常用授權項，稱為 系統策略 。管理員給用戶組授權時，可以直接使用這些系統策略，系統策略只能使用，不能修改。如果管理員在IAM控制臺給用戶組或者委托授權時，無法找到特定服務的系統策略，原因是該服務暫時不支持IAM。
    • 如果系統策略無法滿足授權要求，管理員可以根據各服務支持的授權項，創建 自定義策略 ，并通過給用戶組授予自定義策略來進行精細的訪問控制，自定義策略是對系統策略的擴展和補充。目前支持可視化視圖、JSON視圖進行自定義策略配置。

圖 權限策略示例

身份憑證

身份憑證是識別用戶身份的依據，您通過控制臺或者API訪問云服務時，需要使用身份憑證來進行系統的認證鑒權。身份憑證包括密碼和訪問密鑰，您可以在IAM中管理自己以及帳號中IAM用戶的身份憑證。

• 密碼：常見的身份憑證，密碼可以用來登錄控制臺。
• 訪問秘鑰：即AK/SK（Access Key ID/Secret Access Key），調用云服務API接口的身份憑證，不能登錄控制臺。訪問密鑰中具有驗證身份的簽名，通過加密簽名驗證可以確保機密性、完整性和請求雙方身份的正確性。

IAM項目

每個資源池默認對應一個IAM項目，目前這個項目由系統預置，用來隔離各資源池的資源（計算資源、存儲資源和網絡資源等），以該默認項目為范圍進行授權，用戶可以訪問您帳號中該資源節點（即該默認IAM項目）的所有資源。

企業項目

可將企業分布在不同區域的云資源遷入同一個邏輯隔離的企業項目，并對企業項目進行統一管理，同時可為每個企業項目設置擁有不同權限的用戶組和用戶。