賬號

當您首次使用天翼云時注冊的帳號，該帳號是您的天翼云資源歸屬以及計費的主體。賬號對其所擁有的云服務資源具有完全的訪問權限，也可以重置用戶密碼、分配子用戶權限。

帳號不能在IAM中修改和刪除，您可以在天翼云網門戶“個人中心”修改帳號信息，如果您需要刪除帳號，可以在“個人中心”進行注銷。

IAM用戶

由帳號在IAM中創建的用戶，一般為具體云服務的使用人員，具有獨立的身份憑證（密碼和訪問密鑰），根據帳號授予的權限使用資源。

帳號與IAM用戶的關系

帳號與IAM用戶可以類比為父子關系，帳號是資源歸屬以及計費主體，對其擁有的資源具有所有權限。IAM用戶由帳號創建，只能擁有帳號授予的資源使用權限，帳號可以隨時修改或者撤銷IAM用戶的使用權限。IAM用戶進行資源操作時產生的費用統一計入帳號中，IAM用戶不需要為資源付費。

用戶組

用戶組是用戶的集合，IAM通過用戶組功能實現對用戶的快速授權。您創建的IAM用戶，在加入已授權的用戶組后，會繼承用戶組的權限，并且能夠根據權限訪問您帳號中的云服務資源。當某個用戶加入多個用戶組時，此用戶同時擁有所有已加入用戶組的權限。

“admin”為系統缺省提供的用戶組，具有所有云服務資源的操作權限。將IAM用戶加入該用戶組后，IAM用戶可以操作并使用所有云服務資源，包括但不僅限于創建用戶組及用戶、修改用戶組權限、管理資源等。

授權

授權是您將用戶完成具體工作需要的權限授予用戶，授權通過定義策略和最小授權范圍生效，通過給用戶組授予策略和設置授權范圍，用戶組中的用戶就能在授權范圍內獲得策略中定義的權限，這一過程稱為授權。用戶獲得具體云服務的權限后，可以對云服務進行操作，例如，管理您帳號中的彈性云主機資源。

權限

如果您只授予IAM用戶彈性云主機的資源列表查看權限，則該IAM用戶除了查看彈性云主機的資源列表，不能訪問其他任何服務和執行彈性云主機的其他操作，在不具備權限時執行操作，系統將會提示沒有權限。

策略

策略是IAM提供的細粒度權限集合，可以精確到具體資源、條件等。使用基于策略的授權是一種靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對彈性云主機服務，管理員能夠控制IAM用戶僅能對云主機的資源進行指定的管理操作。

策略包含系統策略和自定義策略兩種。

系統策略

云服務在IAM預置的常用權限集合，稱為系統策略。管理員給用戶組授權時，可以直接使用這些系統策略，系統策略只能使用，不能修改和刪除。如果管理員在IAM控制臺給用戶組或者委托授權時，無法找到特定服務的系統策略，這是因為該服務暫時不支持IAM，管理員可通過天翼云網門戶給對應云服務提交工單，申請該服務接入IAM并預置權限。

自定義策略

如果系統策略無法滿足授權要求，管理員可以根據各服務支持的權限，創建自定義策略，并通過給用戶組授予自定義策略來進行精細的訪問控制，自定義策略是對系統策略的擴展和補充。您可以通過可視化和JSON視圖完成自定義策略的配置。

委托

委托根據委托對象的不同，分為委托其他天翼云帳號和委托其他云服務。

委托其他天翼云帳號：通過委托功能，您可以將自己帳號中的資源操作權限委托給其他天翼云帳號，被委托的帳號可以根據權限代替您進行資源運維和管理工作。

委托其他云服務：由于天翼云各服務之間存在業務交互關系，一些云服務需要與其他云服務協同工作，在使用時會需要您創建云服務委托，將操作權限委托給該服務，讓該服務以您的身份使用其他云服務，代替您進行一些資源運維的自動化工作。

身份憑證

身份憑證是識別用戶身份的依據，您通過控制臺或者API訪問天翼云時，需要使用身份憑證來進行系統的認證鑒權。身份憑證包括密碼和訪問密鑰，您可以在IAM中管理自己以及帳號中IAM用戶的身份憑證。

密碼

常見的身份憑證，密碼可以用來登錄控制臺。您不能在IAM中管理自己賬號的密碼，請在天翼云網門戶“個人中心”修改自己的密碼。

訪問密鑰

即AK/SK（Access Key ID/Secret Access Key），調用天翼云API接口的身份憑證，不能登錄控制臺。訪問密鑰中具有驗證身份的簽名，通過加密簽名驗證可以確保機密性、完整性和請求雙方身份的正確性。