萬物互聯時代來臨,面對越來越嚴峻的企業網路安全及復雜的(如微服務,容器編排和云計算)開發、生產環境,企業 IT 急需一套全新的身份和訪問控制管理方案,
為了滿足企業需求,更好的服務企業用戶,青云QingCloud 推出了 IAM 服務,使用者可以統一管理和控制接入物體的認證和授權,更安全地自主管控賬戶下的任意資源訪問權限,
IAM 是什么?
IAM 旨在統一構建云平臺的權限管理標準,采用非對稱加密技術創建具備一定訪問時效的臨時 Token 為訪問者賦予身份憑證,無需引入 Access Key ,身份的使用者可以是人、 設備、應用等任何支持獲取憑證 Token 的物體,
當使用者需要為他人或者應用賦予自己資源的訪問權限時,可以按需配置任意粒度的權限和身份載體,不必再共享訪問密鑰,從而做到對接入物體的全方位統一管控,極大降低訪問密鑰被泄露的風險,提高平臺客戶資訊的安全性,
IAM 功能及特性
1、訪問控制統一管理
QingCloud IAM 服務可將云平臺各模塊的操作 API 進行統一納管,并定義各類服務及資源之間的關系,
由使用者自行編輯策略以組合成不同操作權限的集合后賦予其他身份,最終實作對該使用者名下的服務或資源接入控制統一管理,
2、保障訪問安全
訪問憑證采用 RSA 非對稱加密演算法,有效保證密鑰安全,
支持使用者自行設定和調整憑證 token 失效時間以保證憑證安全,使得身份憑證可在一定時間后自動失效,
3、模擬策略
評估支持針對任意復合策略指定 API 和資源范圍時模擬策略評估結果,以有效規避和防止復雜的策略權限組合偏離管理期望,
4、可視化管理
支持在創建策略時無縫切換可視化與編程模式,對比并生成精準策略權限概要,極大提升中高級企業客戶的權限定制體驗,
同時,使用者可自定義策略版本,并支持策略版本可視化對比管理,可一目了然看到各策略版本之間微小變化,從而專注于提升更流暢更便捷的操作體驗,
5、精細的控制粒度
基于云服務 API 顆粒度創建訪問策略,支持允許和拒絕效力,支持多種服務及多重效力任意疊加,支持隨時切換為開發者模式為服務及 API 設定通配符,
6、細致的權限策略設計
業內首創將各類納管服務的 API 操作按只讀、維護和敏感分類而非單純的可讀可寫,旨在輔助管理權限的分配與設計,讓授權目標時更清晰、更謹慎、更安全,
7、豐富的信任載體
使用者可以為主機、賬戶、子賬戶,授予訪問權限,
IAM 最佳實踐
精細權限管理,多人跨賬號管理協作
在創業之初,企業對云資源的安全管理要求不高,可以接受使用一個訪問密鑰(Access Key)來操作所有資源,但隨著時間推移,企業逐漸成長為大型公司時,組織架構變得更加復雜,可能同時有好幾個專案團隊共用云資源,
這時就需要授權多人輔助管理資源、處理賬單等運維操作,過去只能將賬號密碼直接提供給對方使用,或將相關資源通過組合成專案的方式共享給他人操作,無法保證云資源的安全管理,
通過配置 IAM,使用者可直接將賬號中的部分操作權限賦予到不同的身份上,再分配給其他人來使用,而無需考慮資源組合或權限分配不合理的問題,
例如,使用者可通過 IAM 允許子賬戶 A 通過代入其賦予的身份,完全訪問自己賬戶中的彈性云主機服務(支持創建、啟停或銷毀主機等),同時允許 QingCloud 平臺中的另一個賬戶 B 通過代入其賦予的身份,僅具備查看某個特定主機資訊的權限,
管理應用共享訪問云端資源/免密鑰應用開發
使用者在 QingCloud 公有云上開發應用,當需要在該應用中呼叫云資源 API/CLI 以完成某些功能時,過去需要利用自己賬戶的 API 密鑰作為該應用配置項,供有需要時連接使用,但會存在配置項意外泄露問題,
IAM 使其可向其云端資源授予訪問權限,以管理和使用賬戶中的資源,而不必共享賬戶密碼或 API Access Key,
例如,使用者可通過為自己的 QingCloud 云主機配置 IAM 身份輕松實作免密鑰訪問,允許其云主機中創建的應用通過集成 QingCloud 官方 SDK 獲取身份憑證資訊,即可在應用中呼叫 QingCloud API/CLI 以訪問云端資源,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/6763.html
標籤:其他
上一篇:Kubernetes/K8s架構師實戰集訓營【中、高級班】-2020
下一篇:Kubernetes筆記(四):詳解Namespace與資源限制ResourceQuota,LimitRange