概述

IAM（Identity and Access Management）是网宿云提供的身份识别与访问管理服务。通过IAM配置，父账号可以控制子账号拥有哪些操作权限及对拥有的资源进行访问控制。根据需要给不同的子账号分配不同权限策略。比如能够限制子账号只拥有对某一个 Bucket 的读权限。

注意：为避免造成资源泄露，强烈建议按最小权限分配，定期更换AKSK，并及时清理不使用的账号及其权限。

• 父账号：

资源拥有者，对其名下所有资源拥有完全控制权限。
资源使用计量计费的基本主体，为其名下的所有资源付费。

• 子账号：

由父账号创建，在创建的时候可以分配独立的密码和权限，每个子账号拥有自己AccessKey，默认没有任何权限，只有在被授权之后，才能登录控制台或使用 API 操作父账号下的资源。
不会自动拥有对所创建资源的任何权限，其所有操作都需要有父账号的显示授权。
从属于父账号，不能拥有任何资源，没有独立的计量计费，由所属父账号统一控制和付费。

说明：

每个资源有且仅有一个拥有者（资源 Owner）。该属主必须是父账号，对资源拥有所有控制权限。
资源拥有者不一定是资源创建者。比如，一个子账号被授予创建资源的权限，该子账号创建的资源归属于父账号，该子账号是资源创建者但不是资源拥有者。