访问管理 CAM 简介
访问控制(Cloud Access Management,CAM)是云平台提供的Web服务,主要用于帮助客户安全管理云平台账户下资源的访问权限。用户可以通过CAM创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用云平台资源的权限。
可以将根账号的资源授权给其他人员,包括子账号和其他根账号,而不需要分享根账号相关的身份凭证。
可以针对不同的资源授权给不同的人员不同的访问权限。例如可以允许某些子账号拥有CVM某台虚拟机的操作权限,而另一些账号或者根账号可以拥有某个地域的CVM操作权限等。这里的资源、访问权限、用户都可以批量打包。
CAM目前支持云平台的多个地域,通过复制策略数据实现跨地域的数据同步,虽然CAM策略的修改会及时提交,不过跨地域的策略同步会导致策略生效的延迟;同时CAM使用缓存来提高性能(目前是一分钟缓存),更新需要在缓存过期后生效。
企业内不同岗位的员工需要拥有该企业云资源的最小化访问权限。
场景:某个企业拥有很多云资源,包括CVM 、VPC实例、CDN实例、COS存储桶和对象等。该企业拥有很多员工,包括开发人员、测试人员、运维人员等。部分开发人员需要拥有其所在项目相关的开发机云资源的读写权限,测试人员需要拥有其所在项目的测试机云资源的读写权限,运维人员负责机器的购买和日常运营。当企业员工职责或参与项目发生变更,将终止对应的权限。
