IAM 的关键概念包括：

• 隔间 — 云资源的逻辑容器。帐户管理员可以创建一个或多个隔间，以组织和管理帐户中的资源。
• 根隔间 — 帐户中的最高层级的隔间。设置帐户后，系统即自动为您创建根隔间。
• 用户 — 拥有可验证身份的实体，既包括真人用户，也包括机器人用户。在一个账户下，每个用户都拥有一个唯一的用户名和一个全局唯一的标识符。用户可通过密码访问 Web 控制台，可使用密钥，通过 API 访问服务。
• 组 — 即用户组。组可以简化访问管理，例如，您可以将软件开发人员纳入一个名为“开发者”的组中，方便他们读取、编写和修改代码。请注意：一个用户可以同时隶属于多个组。
• 策略 — 指定哪些人可以访问您企业的 Oracle 云基础设施资源及其访问方式的文档。策略由策略声明构成，多个策略则构成一个策略库。

Oracle 云基础设施 IAM 支持您利用统一模型，对所有 Oracle 云基础设施服务进行身份验证和授权。从单人处理单一项目到多个小组同时处理多个项目的大型企业，无论企业规模大小，您都可以通过一个账户，以简化方式进行访问管理，在帐户层面或隔间层面进行资源管理和授权，同时实施集中式审计和计费。

全新构建的 Oracle IAM 支持您实施最小特权安全原则，即默认禁止新用户对任何资源执行任何操作，由管理员按需要为每位用户仅授予相应的访问权限。

借助 Oracle 身份与访问管理服务，Oracle 云基础设施原生支持多因素身份验证 (MFA)。而通过 Oracle 身份云服务或任意支持 MFA 的受支持第三方身份提供程序，您还可以对联合用户进行多因素身份验证。

是。为满足企业审计和合规性要求，Oracle IAM 将记录所有变更，而且您无需额外付费即可访问。

Oracle IAM 默认启用，无需额外付费，帐户下的第一位用户即为默认管理员。您可以通过 IAM 服务创建所有后续用户，并明确授予他们与指定云资源进行交互的权限。

您可以通过控制台、Rest API 或 SDK 访问 Oracle IAM。

重置 Oracle 云基础设施访问密码前，请首先将您的账户关联至一个电子邮件地址。请访问您 Oracle 云基础设施帐户的用户资料页面，添加只有您拥有访问权限的电子邮件地址。然后，您将收到一封电子邮件，请您确认将该地址关联到您的帐户。随后，您就可以使用该电子邮件帐户重置密码 — 除非账户已被租户管理员禁用。

隔间是帐户下用于托管基础设施资源（例如计算、存储和网络）以及针对基础设施资源的一组访问管理策略的安全逻辑容器，支持您逻辑有序地组织云资源，以为各种用例提供支持。

以下是隔间的一些常见用法：

• 隔离软件开发环境，从而简化管理。例如，您可以为开发、测试和生产环境提供单独的隔间，使用单独的隔间来进行蓝绿部署。
• 简化权限管理。例如，您可以为网络资源（VCN、子网、互联网网关等）创建单独的，仅允许网络管理员访问的隔间。
• 单独计量各个业务部门的用量，以便准确地对云资源使用进行计费。
• 尽可能减少特定用户可见的资源集数量。例如，您可以单独为财务团队建立一个仅特定的一组员工可见的隔间。

是。隔间是一种与可用性域在物理结构上完全不同的资源逻辑分组，一个隔间可以托管多个可用性域中的资源。

所有策略都会关联至一个跟隔间或一个子隔间，而每个策略都包含符合一个或多个符合以下基本语法的策略声明：

Allow group to in compartment

您可以利用策略声明，使用隔间来简化权限管理，例如写入一个策略声明，允许 HRAdministrators 组管理 HRCompartment 隔间中的所有资源。

是，您可以按需要删除隔间。

是，您可以将整个隔间树及其包含的资源移至其他父隔间。

是，您可以在不同隔间之间移动资源。

是，您可以通过嵌套来创建隔间层级结构。利用层级或嵌套隔间，系统管理员可以组织资源，允许低层级的管理员进行同样的操作，同时获得全面的可见性和策略控制力。

隔间最多可嵌套 6 层。

是，子隔间将继承更高层级隔间的策略。

是，您可以在 My Services 中按隔间来跟踪成本和用量。

对于每个帐户，Oracle 云基础设施将自动创建一个最高层级的隔间，即根隔间。与文件系统中的根文件夹非常类似，根隔离区的工作方式与子隔离区完全相同，但又具有一定的特殊性：

• 由于权限具有层级结构特征，根隔间中的组权限将应用到所有子隔间。例如，如果为 NetworkAdmins 组授予了管理根隔间中虚拟云网络 (VCN) 的权限，则该组将能够管理所有隔间中的 VCN。
• 目前，所有用户和组都需要在根隔间内创建，然后通过策略为他们授予对特定子隔间的访问权限。

注意：目前，您只能在根隔间中创建，而不能在其他隔间中创建新隔间。

通常情况下，请在根隔间以外的其他隔间中创建资源。按照优秀实践，请在创建隔间和资源前首先设计隔间层级结构。目前，Oracle IAM 不支持您跨隔间移动资源以及编辑和删除隔间。

通过 Oracle IAM 身份验证后，用户可获得足够的权限以使用或管理您帐户中的云资源。管理员可以在帐户下创建一个或多个用户，然后将用户分配特定到组中，以便为他们授予访问特定隔间中资源的权限。

Oracle IAM 为您供应账户时，账户即含有一个用户（即默认管理员），和一个组（Administrators 组，默认管理员用户是该组成员）。Administrators 组拥有完全访问权限，默认管理员则可以按需创建新用户，或通过为其他用户授予权限来创建新用户。

默认情况下，新用户在被明确授予权限前，无权使用您帐户下的任何资源或服务。这让您能够遵循最小特权安全原则，即仅向每个用户授予该用户所需的访问权限。您必须明确将用户添加到一个现有组中，或为用户创建一个新组，然后通过策略为该组分配适当的权限。

目前，您无法启用和禁用用户访问，但可以重置密码或移除密钥。

您可以通过 REST API 和 SDK 自动重置密码、更改密钥或编辑用户和组成员。

组是多个需要类似的访问权限以使用或管理您帐户下特定资源的用户的集合。其中，一个用户可以同时隶属于多个组，并获得累加权限。例如，如果一个用户同时隶属于两个组，在第一个组中有权使用计算实例，在第二组中有权管理块存储卷，则该用户同时拥有实例和块存储卷管理权限。

管理员可以写入策略，为组（而不是单个用户）赋予对特定隔间或帐户的必要访问权限，然后按需将用户添加到适当的组中。

是。在供应时，您的帐户拥有一个默认管理员，隶属于根隔间中的 Administrators 组。Administrators 组不仅拥有创建和管理您帐户下所有 Oracle 云基础设施资源（包括用户、组、策略和隔间，以及任意隔间中的所有其他云基础设施资源）的所有权限，还支持您添加其他用户。

策略是一种由描述性策略声明组成的文档。其中，描述性策略声明采用易于理解的类似 SQL 的语法编写，可向用户组授予特定权限。使用策略，您可以为各类用户赋予相应权限（示例）：

• 系统管理员可以“终止”或“重启”裸机计算实例。
• 网络管理员可以全面管理所有与网络相关的基础设施资源。
• IT 管理员可以创建用户，编辑组成员资格

策略允许组以特定方式使用特定隔间中特定类型的资源，可以包含条件子句 ("where ...") ，进一步对策略声明加以限制。如需添加条件语句，请遵循以下语法：

Allow group to in compartment [where ]

例如，以下策略声明将为用户/用户组授予计算实例使用权限：

Allow group Developers to use instances in compartment ProjectA

• “group_name（组名称）”指被授予权限的组的名称。
• “verbs（动词）”指对资源采取的操作，例如：检查、读取、使用或管理。
• “resource-type（资源类型）”指组获得访问权限的云资源，包括：实例、卷和路由表。
• “compartment_name（隔间名称）”指资源所在隔间的名称。
• “conditions（条件）”指进一步定义策略声明的说明，例如："where request.user.id=target.user.id" 或 "where target.group_name != Administrators"。

更多信息，请参阅 Oracle 云基础设施文档 Oracle IAM 部分。

是，根隔间的策略将自动为其下所有子隔间授予相同的权限。例如，以下策略将为“InstanceAdmins”组中的所有用户授予根隔间及其下所有子隔间中的实例的管理权限：

Allow Group InstanceAdmins to manage instances in tenancy

可以。每个策略均与一个隔间“关联”，控制那些用户可以进行修改或删除操作。如果一个策略关联至根隔间，则任何有权管理根隔间策略的用户都可以更改或删除该策略，如果关联至其他隔间，则任何有权管理该隔间策略的用户都可以更改或删除该策略。在实际应用中，这意味着可以轻松为隔间管理员（即有权管理隔离区中的所有资源的组）授予管理其隔间策略的权限，有效避免了过度授权。

有关策略和策略声明的更多信息，请参阅 Oracle 云基础设施文档“策略快速入门”和“常用策略”部分。

身份联合是一种用于 Oracle 云基础设施的租用的，将用户管理委派给其他身份提供程序 (IdP) 的机制，它支持企业使用其现有的身份系统，而不必另外创建和维护一组新用户。您只需在 Oracle 云基础设施和身份提供程序之间进行一次配置（即联合信任），即可启用身份联合。

联合用户（外部身份）指在 Oracle 云基础设施外部（例如在您企业目录中）管理，但获得了您 Oracle 云基础设施帐户访问权限的用户，与您在 Oracle 云基础设施帐户中创建和维护的 Oracle 云基础设施用户不同。

是，联合用户可以访问 Oracle 云基础设施控制台。

是，联合用户可以访问 Oracle 云基础设施 SDK 和 CLI。

联合用户无法在 Oracle 云基础设施控制台中更改或重置密码。

您可以使用与管理本地用户相同的 Oracle 云基础设施策略来管理联合用户，将身份提供程序中的角色和组映射至 Oracle 云基础设施中的组。与本机用户一样，联合用户登录后，Oracle 云基础设施控制台即根据其拥有的 Oracle 云基础设施组成员身份来应用策略。更多信息，请参阅文档示例。

身份提供程序中的一个角色或组可以映射至多个 Oracle 云基础设施组，多个角色或组也可以映射至一个 Oracle 云基础设施组。

您可以为任意数量的联合用户授予控制台访问权限。

Oracle 目前支持 Oracle 身份云服务 (IDCS)、Microsoft Active Directory 联合服务 (AD FS)、Okta 以及任何其他符合 SAML 2.0 的身份提供程序。