公有云子账号认证的原理和步骤

1 为什么使用子账号

1.1 子账号认证的背景

• 主账号权限过大：公有云账号（主账号）对账号中的资源具有完全管理权限，且无法调整其权限大小，多人共用时无法在审计日志中区分出具体使用人，一旦泄露风险极大且难以追溯。

• 安全需求：为了提高安全性，避免因主账号信息泄露而导致整个云资源被恶意操作，需要一种更安全的方式来管理用户访问权限。

• 企业内部管理需求：随着企业上云的深入，云上资源的需求增加，单账号的资源、项目、人员、权限管理变得复杂，需要更精细的权限管理机制来满足企业内部不同角色和职责的访问需求。

1.2 子账号认证的目的

• 提高安全性：通过创建具有特定权限的子账号，可以避免使用主账号进行日常操作，降低主账号信息泄露带来的风险。

• 便于权限管理：可以根据不同人员的职责和需求，为其分配不同的权限，实现精细化的权限控制，提高资源管理的效率和安全性。

• 满足合规要求：在一些行业和场景中，需要对用户身份进行严格认证和审计，子账号认证可以帮助企业满足这些合规要求。

• 支持多账号统一管理：在多账号环境下，通过子账号认证可以实现对多个账号的统一管理和权限分配，简化运维工作。

2 公有云子账号认证的原理和步骤

从密码学的角度来看，共