基本概念_统一身份认证服务 IAM_产品介绍

帐号

当您首次使用华为云时注册的帐号，该帐号是您的华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。帐号统一接收所有IAM用户进行资源操作时产生的费用账单。

帐号不能在IAM中修改和删除，您可以在帐号中心修改帐号信息，如果您需要删除帐号，可以在帐号中心进行注销。

IAM用户

由帐号在IAM中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据帐号授予的权限使用资源。IAM用户不进行独立的计费，由所属账户统一付费。

如果您忘记了IAM用户的登录密码，可以重置密码，重置方法请参见：忘记帐号密码。

图1 IAM用户登录

帐号与IAM用户的关系

帐号与IAM用户可以类比为父子关系，帐号是资源归属以及计费的主体，对其拥有的资源具有所有权限。IAM用户由帐号创建，只能拥有帐号授予的资源使用权限，帐号可以随时修改或者撤销IAM用户的使用权限。IAM用户进行资源操作时产生的费用统一计入帐号中，IAM用户不需要为资源付费。

图2 帐号与IAM用户

身份凭证

虚拟MFA

虚拟MFA（Multi-Factor Authentication，简称MFA），是一款能产生6位数字认证码的应用程序，遵循基于时间的一次性密码 （TOTP）标准。MFA设备可以基于硬件也可以基于软件，华为云目前仅支持基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，获取认证码并进行身份认证。关于虚拟MFA的详细使用方法请参考：虚拟MFA。

用户组

用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。

“admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

图3 用户组与用户

授权

授权是您将用户完成具体工作需要的权限授予用户，授权通过策略定义的权限生效，通过给用户组授予策略（包括系统策略和自定义策略），用户组中的用户就能获得策略中定义的权限，这一过程称为授权。用户获得具体云服务的权限后，可以对云服务进行操作，例如，管理您帐号中的ECS资源。

图4 授权

权限

图5 权限内容示例

项目

区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您帐号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。

图6 项目

委托

委托根据委托对象的不同，分为委托其他华为云帐号和委托其他云服务。

• 委托其他华为云帐号：通过委托信任功能，您可以将自己帐号中的资源操作权限委托给更专业、高效的其他华为云帐号，被委托的帐号可以根据权限代替您进行资源运维工作。

企业项目

企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。

关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。