常见场景

多用户访问控制 IAM

  • 测试知识库SDK
  • 功能发布记录
  • 产品描述
    • 概念
    • 目前支持的产品线
    • 产品概述
    • 应用场景
    • 产品功能
    • 企业组织vs多用户访问控制
    • 系统限制
  • 操作记录
    • 操作记录(公测中)
  • API参考_IAM
    • 通用说明
    • 策略管理接口
    • 简介
    • 角色管理接口
    • 公共请求头与公共响应头
    • 数据类型
    • 组管理接口
    • 服务域名
    • 用户管理接口
    • 错误码
  • 产品公告
    • 【重要升级】百度智能云为所有用户开启登录保护MFA多因素认证通知
  • 快速入门
    • 创建子用户管理员
    • 创建用户组并授权
  • 典型实践
    • 用户管理与权限分配
    • 百度智能云合作伙伴开通子用户教程
  • 操作指南
    • 账户安全审计
    • 设置
    • 用户组管理
    • 消息中心
    • 外部账号接入
      • IAM用户联合
      • IAM角色联合
      • 联合登录概览
    • 角色管理
      • 相关概念
      • 常见场景
      • 管理角色
      • 使用角色
      • 常见问题
      • 创建角色
      • 概述
    • 用户异常行为分析(公测中)
      • 风险行为管理
    • 权限策略
      • 策略类型
      • 授权
      • 策略鉴权评估逻辑
      • 策略语法
      • 管理IAM策略
      • 基于标签授权与鉴权
      • 权限策略概述
    • 用户
      • 用户管理
      • 双因素验证
      • 子用户操作
  • API参考
    • 通用说明
    • 简介
    • 公共请求头与公共响应头
    • 数据类型
    • STS相关接口
    • 功能更新记录
    • 服务域名
    • 错误码
  • 常见问题
    • 子用户问题
    • 常见问题总览
    • 产品权限问题
  • 产品定价
    • 产品定价
  • SDK
    • Python-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 初始化
      • 用户管理接口
      • 安装SDK工具包
      • 错误码
      • 概述
    • Java-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 初始化
      • 用户管理接口
      • 安装SDK工具包
      • 错误码
      • 概述
    • Go-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 用户管理接口
      • 错误处理
      • 安装SDK工具包
      • 初始化sdk
      • 概述
所有文档
menu
没有找到结果,请重新输入

多用户访问控制 IAM

  • 测试知识库SDK
  • 功能发布记录
  • 产品描述
    • 概念
    • 目前支持的产品线
    • 产品概述
    • 应用场景
    • 产品功能
    • 企业组织vs多用户访问控制
    • 系统限制
  • 操作记录
    • 操作记录(公测中)
  • API参考_IAM
    • 通用说明
    • 策略管理接口
    • 简介
    • 角色管理接口
    • 公共请求头与公共响应头
    • 数据类型
    • 组管理接口
    • 服务域名
    • 用户管理接口
    • 错误码
  • 产品公告
    • 【重要升级】百度智能云为所有用户开启登录保护MFA多因素认证通知
  • 快速入门
    • 创建子用户管理员
    • 创建用户组并授权
  • 典型实践
    • 用户管理与权限分配
    • 百度智能云合作伙伴开通子用户教程
  • 操作指南
    • 账户安全审计
    • 设置
    • 用户组管理
    • 消息中心
    • 外部账号接入
      • IAM用户联合
      • IAM角色联合
      • 联合登录概览
    • 角色管理
      • 相关概念
      • 常见场景
      • 管理角色
      • 使用角色
      • 常见问题
      • 创建角色
      • 概述
    • 用户异常行为分析(公测中)
      • 风险行为管理
    • 权限策略
      • 策略类型
      • 授权
      • 策略鉴权评估逻辑
      • 策略语法
      • 管理IAM策略
      • 基于标签授权与鉴权
      • 权限策略概述
    • 用户
      • 用户管理
      • 双因素验证
      • 子用户操作
  • API参考
    • 通用说明
    • 简介
    • 公共请求头与公共响应头
    • 数据类型
    • STS相关接口
    • 功能更新记录
    • 服务域名
    • 错误码
  • 常见问题
    • 子用户问题
    • 常见问题总览
    • 产品权限问题
  • 产品定价
    • 产品定价
  • SDK
    • Python-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 初始化
      • 用户管理接口
      • 安装SDK工具包
      • 错误码
      • 概述
    • Java-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 初始化
      • 用户管理接口
      • 安装SDK工具包
      • 错误码
      • 概述
    • Go-SDK
      • 策略管理接口
      • 角色管理接口
      • 版本变更记录
      • 组管理接口
      • 用户管理接口
      • 错误处理
      • 安装SDK工具包
      • 初始化sdk
      • 概述
  • 文档中心
  • arrow
  • 多用户访问控制IAM
  • arrow
  • 操作指南
  • arrow
  • 角色管理
  • arrow
  • 常见场景
本页目录
  • 给第三方账户授权访问你的云资源
  • 同一账户内的临时授权

常见场景

更新时间:2025-08-21

角色常用于解决跨账户的资源访问问题,或是同账户内子用户的临时授权问题,且不需要共享你账户内任何用户凭证信息,本节将介绍几种常见的业务场景。

给第三方账户授权访问你的云资源

你可以信任第三方账户,并为其账户的IAM用户或服务授予权限,以便其代入到你的云账户角色,并访问该角色被授权的云资源。你也可以切换到其他云账户给你授权的角色,以访问其他账户的云资源。

如下以一个实际案例来说明如何实现跨账户的资源访问:

公司A在百度智能云创建了账户Account111111111,并在该账户下创建了BCC服务器Server001,公司A的管理员希望将这台服务器交给公司B(拥有账户Account222222222)来运维。

image.png

在这个场景下,要满足公司A的管理需求,需要进行如下步骤:

  1. 公司B提供其云账户ID或别名给到公司A的管理员;
  2. 公司A的管理员在Account111111111中创建新角色RoleA,并将角色载体设置为其他云账号,并输入公司B的云账户ID或别名;
  3. 公司A将Server001的运维策略授予RoleA;
  4. 公司B的管理员创建子用户UserB,并授予该用户 _STSAssumeRoleAccess_ 策略;
  5. UserB 可以通过调用临时安全凭证服务(STS)_AssumeRole_ API 切换到RoleA,即具备了运维Server001 的权限。

同一账户内的临时授权

你可以向IAM子用户授予权限,以便切换至你所在账户中的角色,或是信任你的第三方账户的角色。

如下以一个实例来说明如何使用角色来解决同账户内提升权限的问题:

假如在你的账户内有一台核心的BCC服务器实例,出于安全考虑,你不希望你的子用户通过控制台直接管理这台服务器(如删除操作),此时,你可以将这台服务器的管理权限授予给一个角色(详细操作参考创建角色),并授予特定的子用户使用角色的权限,详细操作请参考使用角色,这样可以对该服务器实例添加以下几层保护:

  • 你必须显式地向子用户授予能够担任该角色的权限
  • 当前子用户必须使用百度智能云的API代入角色

使用如上方式践行了最小权限原则 ,且只有用户需要执行特定任务时,才能使用安全级别较高的权限,以防止子用户对敏感的环境或服务进行了意外操作或更改。

上一篇
相关概念
下一篇
管理角色