华云数据Chinac IAM基本概念是什么？

1、CIAM子用户 (CIAM User)

CIAM允许在一个账户下创建多个CIAM子用户（可以对应企业内的员工、系统或应用程序）。不同于CIAM账户，CIAM子用户不拥有资源，没有独立的计量计费，这些由CIAM账户统一负责。

CIAM子用户归隶属CIAM账户，只能在CIAM账户下可见。默认情况下CIAM子用户没有任何资源访问权限，CIAM子用户在获得CIAM账户的授权后方可访问其下的资源。

2、CIAM群组 (CIAM User Group)

通过CIAM子用户，每个CIAM 账户可以控制自己的资源访问。通过CIAM群组，可以将同一个账户下的多个CIAM子用户组织起来，以CIAM群组为单位管理资源访问，可极大简化多用户的权限管理。

CIAM账户、群组和子用户之间的关系如下图所示：

3、授权策略（CIAM Policy）

授权策略是一组权限的集合，它以一种策略语言形式来描述，每种授权策略描述特定资源的访问权限。

通过给用户或群组附加授权策略，用户或群组中的所有用户就能获得授权策略中指定的访问权限。

一个典型的授权策略如下：

4、用户的资源访问控制便是将各种云资源通过授权策略绑定至其他用户。

5、资源

资源是云服务抽象出来的操作对象， 比如COS的桶或者对象， CEC实例等， 资源格式定义如下：

6、·         ccs：是ChinaC Cloud Service的缩写，表示华云公有云平台；

·         service-name：云服务名称，如CEC，COS等；

·         region： 数据中心名称；

·         account-Id：ChinaC账号Id；

·         resource-relative-Id：每个服务定义的资源描述，在COS里，"ccs:cos::123456789:bucket/1.txt" 表示一个对象；

7、操作

操作是对云服务的资源进行访问的动作的抽象， 比如在COS某个桶里面上传文件，关闭CEC某个实例等，操作格式定义如下：

8、·         service-name：云服务名称，如CEC，COS等；

·         action：跟具体的服务相关，对应云服务的某个接口名，比如 cec:StopInstance（停止云主机实例）， cos:GetObject（下载cos文件）；