为企业创建子用户账号、管理子用户的访问凭证(如登录密码、API 访问秘钥)、管理子用户的访问授权。
企业可以设置子用户的登录密码策略,包括密码长度、密码复杂度、登录会话有效期等。
还可以为子用户启用登录多因子验证(MFA)和操作保护,以二次确认当前执行操作的子用户身份,避免因为账号泄露或账号混用带来的安全风险。
将子用户通过群组的方式进行管理,实现对子用户的批量授权。
创建群组、为群组授权、并将子用户加入群组后,子用户即可获得与群组相同的访问权限。
企业可以使用外部账号系统(如企业内部系统的账号)访问京东云。IAM 支持通过 SAML2.0 协议与外部账号系统打通,并对不同外部账号系统的访问权限做限制。
通过可视化方式或 JSON 编码方式自定义权限策略。支持策略的版本管理、版本回滚。
权限策略可以通过以下方式创建:
角色是一种虚拟的身份类型。企业可以为角色授权,然后将角色“授信”给外部服务或应用使用。当服务代入角色身份访问京东云时,京东云会给访问者颁发临时访问凭证。企业可以管理角色临时凭证的有效期。
京东云支持以下角色类型:
企业人员可以使用子用户账号访问京东云。每个人员可以获取独立的子用户账号,使每个人员的访问和操作可追溯、权限可限制,避免账号共享带来的安全风险。
企业的本地应用、部署在云上的服务或者外部账号系统,都可以通过代入角色的方式访问京东云。当服务同时获得多个角色时,它可以在不同角色间“切换”身份进行访问,即服务无法同时获得所有角色的权限,其每一次访问只能在当前角色的授权限制下进行。
安全凭证服务(Security Token Service,STS)是京东云提供的一种临时访问权限管理服务。通过STS可以获取临时的AccessKey、secretKey及Token,并将该凭证提供给可信任用户,该用户可在临时凭证有效期内获得的权限范围内管理京东云资源。