产品概述

基本概念

• 账号组（集团账号）

账号组或称集团账号是大客户管理多个金山云主账号的手段，是资源、订单、账单的聚合主体。账号组本身不拥有任何资源，只负责聚合管理其成员账号的资源、订单和账单。账号组目前只对大客户开放，通过商务人员线下申请，具备单独的登录入口。

• 账号（主账号、成员账号）

账号（账户）或称主账号（主账户）（如果加入账号组，也可称为成员账号）是客户在金山云资源归属、资源计量、资源计费的主体。任何客户在使用金山云的服务前，都需要首先注册生成一个金山云账号，一般使用邮箱作为账号的登录标识，使用一组最长20位数字作为账号ID。

账号是其名下所有云计算资源的属组（owner），拥有名下全部资源的完全控制权限，能够对资源进行购买、续费、退订、升级等操作，拥有资源的订单、账单；云计算资源可被所属账号随意操作访问。

• IAM用户

IAM用户是账号下的授权实体，也是归属于账号的一种资源。IAM用户不拥有任何云计算资源、不能独立计量和计费，只能被主账号授权管理其名下的各种资源，其所管理的资源归属于主账号（由主账号付费），且没有独立的账单。

IAM用户在获得主账号的授权后，能够被设置密码和访问密钥，从而登录控制台和使用openAPI管理主账号的资源。

• 资源（resource） 资源是金山云的客户操作或者使用云服务的对象实体，比如云服务器实例、EIP实例等；为方便在IAM的策略文档中描述一个资源，我们使用KRN（Kingsoft Resource Name）唯一标识一个金山云资源。

• 操作（action） 操作是金山云客户管理或者使用云计算资源动作，可以分为管理操作和数据操作两大类。管理操作是对资源生命周期和运维的管理动作，比如云服务器的创建、重启，KS3的bucket的创建等。数据操作是使用资源的动作，比如在云服务器中安装部署软件，在KS3的bucket上上传/下载对象。

管理操作都可以通过IAM进行授权控制，数据操作只有存储类产品如KS3才基于IAM进行授权控制。每种产品基于IAM所能够进行控制的操作参考该产品的openAPI文档。

产品设计思路

账号组是为了解决资源隔离使用但统一管理订单、账单的需求，适合应用在集团公司-子公司的场景。账号组是抽象概念，且不拥有任何资源，但可以切换为任何成员账号的身份来管理其资源，并能够聚合成员账号的订单、账单，进行快速方便的财务操作。

IAM服务允许在一个金山云账号下创建并管理多个IAM用户身份，并允许给每个IAM用户分配不同的授权策略(Policy)，从而实现不同IAM用户管理一个账号下不同的云计算资源的功能。

IAM用户身份是指通过控制台或openAPI操作金山云资源的人、系统或应用程序。IAM目前只支持一种身份标识，即IAM用户（User），其有确定的身份和访问密钥，通常与某个人或者应用程序对应。

IAM允许在金山云账号下创建并管理多个授权策略，每个授权策略本质上是一组权限的集合。金山云账号可以将一个或多个授权策略分配给IAM用户（默认情况下，每个IAM用户最多授权5个策略）。IAM授权策略语言可以表达精细的授权语义，可以指定对某个openAPI操作（Action）和资源（Resource）授权。

账号组 vs 账号 vs IAM用户

1.从归属关系上看，账号组与账号是一种主子关系，账号与IAM用户也是一种主子关系，从而形成“账号组-账号-用户”三层账号体系架构。账号组和IAM用户不拥有任何资源，账号是金山云资源的拥有者和资源计量计费的主体。账号组能够切换为任意成员账号的身份，从而对其资源进行管理操作。IAM用户不拥有资源，只能被授权访问其所属账号的资源。账号组能够聚合成员账号的订单和账单；IAM用户不拥有账单，被授权操作时所发生的费用计入其所属账号的账单。

2.从权限角度看，账号组与成员账号、账号与IAM用户，都像是一种根账号（特权账号）与普通账号的关系。账号组可以随时切换为成员账号，拥有其成员账号的全部资源管理权限。账号拥有其所属资源的一切操作控制权限，IAM用户只能拥有被账号所授予的某些权限，且账号在任何时刻都可以撤销赋予IAM用户的授权。

支持账号组能的金山云产品/服务

账号组是抽象概念，其本身不拥有资源，通过成员账号来访问资源，因此其支持全部金山云产品/服务。

支持IAM功能的金山云产品/服务