访问控制(Identity and Access Management, IAM)是京东云提供的一项用户身份管理与资源访问控制服务。 IAM Policy是基于用户的授权策略。通过设置 IAM Policy,您可以集中管理您的用户(比如员工、系统或应用程序), 以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个 Bucket 的读权限。 子账号是从属于主账号的,并且这些账号不能拥有任何实际资源,所有资源都属于主账号。
企业内不同岗位的员工需要拥有该企业云资源的最小化访问权限。
场景:某个企业拥有很多京东云资源,包括 VPC 实例、 CDN 实例、 OSS 存储空间和对象等。该企业同时拥有很多员工,包括开发人员、测试人员、运维人员等。 部分开发人员需要拥有其所在项目相关的开发机云资源的读写权限,测试人员需要拥有其所在项目的测试机云资源的读写权限,运维人员负责机器的购买和日常运营。 当企业员工人员变动、职责或参与项目发生变更,应将修改对应的权限,做好权限最小化管理。
不同企业间由于业务合作需要进行云资源的共享。
场景:某企业由于业务合作需要将云资源与其他企业分享,或者某企业拥有很多云资源时,该企业希望能专注产品研发,而将云资源运维工作授权给其他运营企业来实 施。当合作终止时,收回对应的管理权限。
访问管理策略语法 策略(policy)由若干元素构成,用来描述授权的具体信息。核心元素包括委托人(principal)、操作(action)、资源(resource)、 生效条件(condition)以及效力(effect)。如需了解更多,请查看基于IAM Policy的权限控制。
IAM Policy示例
该样例描述为:允许属于主账号 ID 1234567890098 下的子账号 user1,拥有对OSS存储桶 bucketA与 bucketB下的前缀为test/对象读写对象的权限,以及消息队列(JCQ)管理员权限。
{ "Statement": [{ "Action": [ "oss:PutObject", "oss:GetObject" ], "Effect": "Allow", "Resource": [ "jrn:oss:::bucketA/test/*", "jrn:oss:::bucketB/test/*" ] }, { "Action": [ "jcq:*" ], "Effect": "Allow", "Resource": [ "*" ] }], "Version": "3" }