访问控制

产品文档

访问控制

产品功能

管理子用户

为企业创建子用户账号、管理子用户的访问凭证(如登录密码、API 访问秘钥)、管理子用户的访问授权。

管理子用户的访问凭证

企业可以设置子用户的登录密码策略,包括密码长度、密码复杂度、登录会话有效期等。

还可以为子用户启用登录多因子验证(MFA)和操作保护,以二次确认当前执行操作的子用户身份,避免因为账号泄露或账号混用带来的安全风险。

管理群组

将子用户通过群组的方式进行管理,实现对子用户的批量授权。

创建群组、为群组授权、并将子用户加入群组后,子用户即可获得与群组相同的访问权限。

管理外部账号

企业可以使用外部账号系统(如企业内部系统的账号)访问京东云。IAM 支持通过 SAML2.0 协议与外部账号系统打通,并对不同外部账号系统的访问权限做限制。

管理权限策略

通过可视化方式或 JSON 编码方式自定义权限策略。支持策略的版本管理、版本回滚。

权限策略可以通过以下方式创建:

  • 可视化策略生成器:通过页面快速选择授权服务和权限,系统将自动生成策略文本
  • JSON策略编辑器:直接编写JSON策略文本
  • 按标签创建策略:通过页面选择服务,并按标签指定条件进行授权

管理角色和临时凭证

角色是一种虚拟的身份类型。企业可以为角色授权,然后将角色“授信”给外部服务或应用使用。当服务代入角色身份访问京东云时,京东云会给访问者颁发临时访问凭证。企业可以管理角色临时凭证的有效期。

京东云支持以下角色类型:

  • 用户角色:受信任的其他主账号、子用户可以代入的角色类型
  • 服务角色:受信任的京东云服务可以代入的角色类型
  • 联合身份角色:受信任的外部身份提供商可以代入的角色类型

使用子用户账号访问京东云

企业人员可以使用子用户账号访问京东云。每个人员可以获取独立的子用户账号,使每个人员的访问和操作可追溯、权限可限制,避免账号共享带来的安全风险。

代入角色访问京东云

企业的本地应用、部署在云上的服务或者外部账号系统,都可以通过代入角色的方式访问京东云。当服务同时获得多个角色时,它可以在不同角色间“切换”身份进行访问,即服务无法同时获得所有角色的权限,其每一次访问只能在当前角色的授权限制下进行。

安全凭证服务(Security Token Service,STS)

安全凭证服务(Security Token Service,STS)是京东云提供的一种临时访问权限管理服务。通过STS可以获取临时的AccessKey、secretKey及Token,并将该凭证提供给可信任用户,该用户可在临时凭证有效期内获得的权限范围内管理京东云资源。

更新时间:2023-02-21 19:58:59
feedback