IAM概述

​​IAM（身份与访问管理）​​是 CDNetworks 提供的身份与访问管理服务。通过 IAM 配置，主账户​​可以根据需要为不同的子账户​​分配不同的权限策略，从而控制子账户的操作权限和访问控制。例如，限制子账户仅对某个存储空间（Bucket）拥有读权限。

注意：为避免资源泄露，强烈建议遵循最小权限原则进行分配。建议客户定期更换 AK/SK，并及时清理未使用的账户及其权限。

主账户

• 拥有其账户下所有资源的完全控制权限的资源所有者。
• 资源使用计量和账单结算的基本主体，负责支付其账户下所有资源的费用。

​​子账户​​

• 由主账户创建，创建时会分配独立的密钥和权限。默认情况下不拥有任何权限（包括对其自身创建的资源的权限）。所有操作都需要获得主账户的授权。
• 隶属于主账户，不能拥有任何资源。没有针对子账户的独立计量和计费。
  ​​

注意事项：​​

• 每个资源有且仅有一个所有者（资源 Owner）。该所有者必须是拥有该资源所有控制权的主账户。
• 资源所有者可以不是资源创建者（资源所有者 ≠ 资源创建者）。例如：一个子账户被授权拥有创建资源的权限，则该子账户所创建的资源的所有者是主账户，此时子账户是资源创建者但并非资源所有者。所有者拥有最高控制权（包括删除、权限分配等），而创建者的操作权限仍受限于主账户给子账户配置的权限策略。