基本概念
更新时间:2026-03-25 15:08:05
IAM 基本术语
本文介绍访问控制(IAM)中涉及的主要术语及其定义,帮助您快速理解 IAM 的基本概念和使用方式。
主账号
主账号是在客户与 CDNetworks 建立服务关系后自动创建的账号,是所购产品、服务和资源的归属主体,也是相关费用的承担主体。
主账号拥有账号下所有资源的完整管理权限,可登录控制台,对已开通的产品、服务和资源进行统一查看、配置和管理。
在 IAM 中,主账号同时承担管理员角色,可用于:
- 创建和管理 IAM 用户
- 为 IAM 用户分配权限
- 管理账号下的资源和访问方式
- 统一控制账号安全和使用范围
通常建议仅由组织内的管理员或指定负责人使用和保管主账号。
IAM 用户
IAM 用户是由主账号在访问控制(IAM)中创建的用户账号,用于满足多人协作和分角色管理的需求。
IAM 用户创建后默认没有任何权限,只有在主账号完成授权后,才可访问指定的产品、资源或功能。IAM 用户本身不单独承担费用,账号下产生的资源使用、服务计量及费用结算,均由主账号统一承担。
使用 IAM 用户可以帮助您:
- 为不同成员创建独立账号
- 按岗位职责分配权限
- 避免多人共用主账号
- 提升账号安全性和管理规范性
主账号与 IAM 用户的关系
主账号与 IAM 用户之间为统一管理关系。
- 主账号负责创建、授权和管理 IAM 用户
- IAM 用户必须在获得授权后,才能访问相应的产品、资源和功能
- IAM 用户对资源的使用和操作,始终归属于主账号
- IAM 用户产生的相关费用也统一计入主账号
您可以将主账号理解为组织级管理员账号,将 IAM 用户理解为由主账号创建并管理的成员账号。
身份凭证
身份凭证是用于验证用户身份的信息,主要用于登录控制台或调用 API。
身份凭证属于敏感信息,请妥善保管,避免泄露带来安全风险。
IAM 中常见的身份凭证包括:
- 登录名和密码
- AccessKey
登录名和密码
登录名和密码用于登录控制台。用户登录后,可根据已被授予的权限访问和管理相关产品、服务及资源。
AccessKey
AccessKey 用于通过 API 请求或 SDK 方式访问平台能力,适用于支持程序化访问的产品场景。
如果您的业务需要通过系统对接、自动化脚本或应用程序调用相关服务,可使用 AccessKey 进行身份认证和接口访问。
建议您定期检查和更新身份凭证,并避免在不安全的环境中存储或传输凭证信息。
权限策略
权限策略是 IAM 中用于定义访问权限的规则集合,也是权限授予的基础单位。
通过为 IAM 用户绑定权限策略,您可以控制该用户能够访问哪些功能、哪些资源,以及可以执行哪些操作。
系统策略
系统策略是由 CDNetworks 预置并维护的权限策略。
这类策略通常面向常见授权场景,内容固定,客户不可修改。当您希望快速完成标准化权限分配时,可直接使用系统策略。
自定义策略
自定义策略是由客户根据实际业务需求自行创建和维护的权限策略。
通过自定义策略,您可以更灵活地控制 IAM 用户对特定功能或资源的访问范围,满足更细粒度的授权需求。
当系统策略无法满足实际管理场景时,可使用自定义策略进行补充。
功能策略
功能策略用于控制 IAM 用户可访问的控制台功能范围,例如页面功能、配置能力或数据查看能力等。
在适用产品中,仅分配功能策略通常还不足以让用户查看具体资源内容。只有当用户同时被授予相应资源范围后,功能权限才能在实际使用中生效。
如控制台中某类产品需要同时配置功能权限与资源范围,请以实际授权规则为准。
表达式策略
表达式策略是基于 IAM 权限语法定义的策略类型,用于通过规则表达式控制 IAM 用户对特定资源的访问权限。
通过表达式策略,您可以更细粒度地指定:
- 可访问的资源范围
- 可执行的操作类型
- 允许或禁止的访问行为
表达式策略适用于需要精细化授权的场景。
具体支持范围可能因产品不同而有所差异,请以控制台实际能力为准。
服务组管理
服务组是指一组加速域名,仅适用于 CDN 及安全类产品(如 Flood shield、WAF)。其他产品(如对象存储)的资源已囊括在策略中,不以服务组形式分配。将服务组分配给用户后,用户即可管理该服务组内域名。
一个加速域名可属于多个服务组,单一用户亦可被分配至多个服务组。
预设服务组
预设 – 客户类服务组
合同签署及第一个用户创建时,系统自动生成 预设 – 客户 服务组,涵盖该客户账号下所有加速域名,服务组名称不可修改。
预设 – 产品服务组
此服务组自动包含与新合同关联的所有域名。借助该服务组,客户可查看合同下的总流量数据,与结算单核对,方便预估流量变化或合同升级。
用户自定义服务组
自定义服务组可选取客户账号范围内的任意合同所属域名组合,设置完成后,分配给 IAM 用户,用户即获得该服务组下域名的管理权限。