产品功能

管理子用户

为企业创建子用户账号、管理子用户的访问凭证（如登录密码、API 访问秘钥）、管理子用户的访问授权。

管理子用户的访问凭证

企业可以设置子用户的登录密码策略，包括密码长度、密码复杂度、登录会话有效期等。

还可以为子用户启用登录多因子验证（MFA）和操作保护，以二次确认当前执行操作的子用户身份，避免因为账号泄露或账号混用带来的安全风险。

管理群组

将子用户通过群组的方式进行管理，实现对子用户的批量授权。

创建群组、为群组授权、并将子用户加入群组后，子用户即可获得与群组相同的访问权限。

管理外部账号

企业可以使用外部账号系统（如企业内部系统的账号）访问京东云。IAM 支持通过 SAML2.0 协议与外部账号系统打通，并对不同外部账号系统的访问权限做限制。

管理权限策略

通过可视化方式或 JSON 编码方式自定义权限策略。支持策略的版本管理、版本回滚。

权限策略可以通过以下方式创建：

• 可视化策略生成器：通过页面快速选择授权服务和权限，系统将自动生成策略文本
• JSON策略编辑器：直接编写JSON策略文本
• 按标签创建策略：通过页面选择服务，并按标签指定条件进行授权

管理角色和临时凭证

角色是一种虚拟的身份类型。企业可以为角色授权，然后将角色“授信”给外部服务或应用使用。当服务代入角色身份访问京东云时，京东云会给访问者颁发临时访问凭证。企业可以管理角色临时凭证的有效期。

京东云支持以下角色类型：

• 用户角色：受信任的其他主账号、子用户可以代入的角色类型
• 服务角色：受信任的京东云服务可以代入的角色类型
• 联合身份角色：受信任的外部身份提供商可以代入的角色类型

使用子用户账号访问京东云

企业人员可以使用子用户账号访问京东云。每个人员可以获取独立的子用户账号，使每个人员的访问和操作可追溯、权限可限制，避免账号共享带来的安全风险。

代入角色访问京东云

企业的本地应用、部署在云上的服务或者外部账号系统，都可以通过代入角色的方式访问京东云。当服务同时获得多个角色时，它可以在不同角色间“切换”身份进行访问，即服务无法同时获得所有角色的权限，其每一次访问只能在当前角色的授权限制下进行。

安全凭证服务（Security Token Service,STS）

安全凭证服务（Security Token Service,STS）是京东云提供的一种临时访问权限管理服务。通过STS可以获取临时的AccessKey、secretKey及Token，并将该凭证提供给可信任用户，该用户可在临时凭证有效期内获得的权限范围内管理京东云资源。