用戶身份管理和訪問控制（Identity and Access Management，簡稱IAM）是OOS為用戶提供的用戶身份與權限管理服務，您可以使用IAM創建、管理用戶賬號，并對這些賬號進行權限分配，方便資源管理。

您只需為您在天翼云賬戶中的資源付費，無需為IAM單獨付費。

功能特性

只要您擁有一個天翼云賬號，即可擁有IAM功能，天翼云賬號管理員可以：

• 創建、管理子用戶賬號。

• 控制子用戶賬號內資源具有的操作權限。

• 按需為用戶分配不同權限，從而避免與其他用戶共享資源使用、訪問密鑰的使用等，降低賬號的信息安全風險。

• 多重身份認證：通過多因子操作認證（MFA）,在進行IAM相關操作時，可以使用MFA，為操作增加一份安全保障。

應用場景

用戶管理與分權

企業中有不同的員工，各自職責不同，權限不同。有的員工需要進行上傳下載文件的操作，有的員工只需要查看統計信息，有的員工只需要查看日志信息。通過IAM，可以為不同的員工分配不同的操作權限。

基本概念

• 根用戶 ：用戶首次創建CTYUN賬戶時，最初使用的是一個對賬戶中所有服務和資源有完全訪問權限的登錄身份，此身份稱為根用戶。

• IAM用戶： IAM用戶是OOS中的一個實體，該實體代表使用它與OOS進行交互的人員或應用程序，由CTYUN賬戶在OOS中創建的用戶，也稱為子用戶。默認情況下，全新的IAM用戶沒有執行任何操作的權限，新用戶無權執行任何OOS操作或訪問任何OOS資源。

• 用戶組 ：用戶組是用戶的集合，IAM可以將IAM用戶添加到對應的用戶組，通過對用戶組進行授權管理IAM用戶，用戶組的權限會影響用戶組內的IAM用戶。建議具備相同權限的IAM用戶添加到同一用戶組，方便管理。同一個IAM用戶可以同時加入多個用戶組。

• 訪問密鑰（AK/SK） OOS通過訪問密鑰（AK/SK）認證方式進行認證鑒權，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法來驗證某個請求發送者身份。 訪問密鑰包含兩部分：訪問密鑰 ID（AccessKeyID）和秘密訪問密鑰（Secret Access Key）。必須同時使用訪問密鑰 ID 和秘密訪問密鑰對請求執行身份驗證。 OOS支持使用永久AK/SK鑒權，也支持通過臨時AK/SK和securitytoken進行認證鑒權，通過使用臨時AK，SK和securitytoken，可以為第三方應用或IAM用戶頒發一個自定義時效和權限的訪問憑證，降低了帳號泄露帶來的安全風險。

• MFA ：多因子認證（Multi-Factor Authentication，簡稱MFA）是一種簡單安全的二次認證方式，為用戶增加了一層安全保護。僅子用戶支持MFA。

• 授權 ：通過給用戶組和用戶添加策略，用戶就能獲得策略中定義的權限，這一過程稱為授權。

• 策略 ：策略是以JSON格式描述權限信息的集合，可以精確地描述被授權的資源集、操作集以及授權條件。支持系統策略和自定義策略：

  • 系統策略：OOS預先創建好的策略，用戶可以根據自身需求，直接引用。對于系統策略，用戶只能使用，不能修改。

  • 自定義策略：用戶自己創建的策略，用戶可以對該類型策略進行修改和刪除。

服務限制

IAM中的用戶、用戶組等有限定的配額。