IAM 的核心概念就是在身份和存取管理 (IAM )中要做的第一件事就是定義和創建你的用戶。

User 可以是上圖中那樣，或者 User 可以是特定的服務，instance principle 允許在這些 instances上運行的 instances 和應用程式對其他 OCI 服務進行 API 調用。

所以可以是使用者，可以是instances ，也可以是其他服務。

因此，可以將這些使用者分成群組，並將群組視為所有需要對特定資源集具有相同類型存取權限的用戶集合。

因此可以根據需求建立特定群組、storage 管理員、network 管理員。

然後再制定這些群組的 Policies，他們可以決定這些特定群組中的使用者擁有的權限。

也可以在 Compartment 上撰寫這些 Policies，以隔離和控制資源的存取，或者在租用戶的整個帳戶上制定 Policies。

而 Resources 實際上就是透過這種機制，可讓您透過編寫這些策略為一組用戶提供對這些 Resources 的存取權限。

Resources 就是雲端物件，無論是區塊儲存，物件儲存、運算處理、資料庫，在雲端建立的任何項目都是 Resources

那我們該如何識別這些資源呢?

我們可以透過 Oracle Cloud ID 或 OCID 來識別這些資源。

所以在上圖中看到這種語法：以 OCID 開頭，還有一個Resource type、Realm、Region，最後是一個唯一的字符串 ID。

以下圖為例Tenancy 的 ID：可以看到它以 OCID1 開頭，如上圖中提到的。

那麼這裡的 tenancy 就是關鍵字，基本上就是說這個 OCID 唯一標識是給 tenancy 的，而 oc1 是商業領域。 

以下圖為例 Block Volume：可以從 oc1 看到磁碟區，這裡有一個 volume 表示資源類型，oc1是商業範圍，這裡還有一個 region 代表這個 block volume 是在這個特定區域中建立的，及最後會有唯一的ID。

．初步了解 IAM 服務

．了解身份驗證、授權的核心概念

．識別 OCI 資源