訪問鑒權管理 (IAM)
訪問鑒權管理 ( Identity and Access Management,簡稱IAM ),是青云QingCloud 在云平臺上提供的身份識別和訪問控制服務。使用者可以統一管理和控制接入實體的認證和授權,更安全地自主管控賬戶下的任意資源訪問權限。

產品特性

訪問控制統一管理

青云QingCloud IAM 服務可將云平臺各模塊的操作 API 進行統一納管,并定義各類服務及資源之間的關系,由使用者自行編輯策略以組合成不同操作權限的集合后賦予其他身份,最終實現對該使用者名下的服務或資源接入控制統一管理。

保障訪問安全

訪問憑證采用 RSA 非對稱加密算法,有效保證密鑰安全。并支持使用者自行設置和調整憑證 Token 失效時間以保證憑證安全,使得身份憑證可在一定時間后自動失效。

模擬策略評估

支持針對任意復合策略指定 API 和資源范圍時模擬策略評估結果,以有效規避和防止復雜的策略權限組合偏離管理期望。

可視化管理

支持在創建策略時無縫切換可視化與編程模式,對比并生成精準策略權限概要,極大提升中高級企業客戶的權限定制體驗。同時,使用者可自定義策略版本,并支持策略版本可視化對比管理,可一目了然看到各策略版本之間微小變化,從而專注于提升更流暢更便捷的操作體驗。

精細的控制粒度

基于云服務 API 顆粒度創建訪問策略,支持允許和拒絕效力,支持多種服務及多重效力任意疊加,支持隨時切換為開發者模式為服務及 API 設置通配符。

細致的權限策略設計

業內首創將各類納管服務的 API 操作按只讀、維護和敏感分類而非單純的可讀可寫, 旨在輔助管理權限的分配與設計,讓授權目標時更清晰、更謹慎、更安全。

豐富的信任載體

使用者可以為其賬號、主機及子賬戶創建身份,并授予訪問權限。

產品功能

身份管理

身份用于管理當前賬戶的臨時接入訪問。使用者可通過創建身份可以授權其他賬戶訪問自己的云資源,也可以授權 青云QingCloud 平臺設備或應用訪問自己的云資源,而無需借助賬號密碼或密鑰。身份需要附加策略后使用,當身份被附加了一定權限范圍的策略后,則該身份將具備此策略定義的訪問權限。 目前支持面向賬戶、子帳戶、主機創建身份,并賦予訪問憑證。訪問憑證支持設置失效時間,并可自動更新。

策略管理

策略是一系列青云QingCloud 云服務自定義權限的集合。使用者通過 IAM 策略定義某個服務或資源的權限范圍后,可以將該策略附加到指定的身份上,身份將獲得此策略所定義的訪問權限。青云QingCloud 提供了一系列系統預置策略以滿足客戶日常管理需要,客戶也可以通過 IAM 管理控制臺可視化配置策略以滿足其特定權限管理需求。同時,為了幫助使用者更好的驗證多種策略復合之后的實際效果,IAM 還提供策略模擬功能,使用者可按具體身份已附加的復合策略針對精細 API 指定資源范圍進行模擬測試,并能實時調整不同的身份、策略內容、策略組合再次重新模擬驗證。

應用場景

精細權限管理,多人跨賬號管理協作

在創業之初,企業對云資源的安全管理要求不高,可以接受使用一個訪問密鑰(Access Key)來操作所有資源。但隨著時間推移,企業逐漸成長為大型公司時,組織架構變得更加復雜,可能同時有好幾個項目團隊共用云資源。這時就需要授權多人輔助管理資源、處理賬單等運維操作,過去只能將賬號密碼直接提供給對方使用,或將相關資源通過組合成項目的方式共享給他人操作,無法保證云資源的安全管理。

通過配置 IAM,使用者可直接將賬號中的部分操作權限賦予到不同的身份上,再分配給其他人來使用,而無需考慮資源組合或權限分配不合理的問題。

管理應用共享訪問云端資源/免密鑰應用開發

使用者在青云QingCloud 公有云上開發應用,當需要在該應用中調用云資源 API/CLI 以完成某些功能時,過去需要利用自己賬戶的 API 密鑰作為該應用配置項,供有需要時連接使用,但會存在配置項意外泄露問題。

IAM 使其可向其云端資源授予訪問權限,以管理和使用賬戶中的資源,而不必共享賬戶密碼或 API Access Key。

国产精品成人麻豆专区