统一身份认证服务 IAM
提供权限管理、访问控制和身份认证的基础服务,安全地控制华为云服务和资源的访问权限
统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制云服务和资源的访问权限。
IAM无需付费即可使用,您只需要为您账号中的资源进行付费。
IAM的优势
对华为云的资源进行精细访问控制
您注册华为云后,系统自动创建账号,账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问华为云所有的云服务。
如果您在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您的团队或应用程序需要使用您在华为云中的资源,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户,并授予IAM用户刚好能完成工作所需的权限,新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时,避免分享账号的密码。
除了IAM外,还有企业管理服务同样可以进行资源权限管理,相对于IAM,企业管理对资源的控制粒度更为精细,同时还支持企业项目费用的管理,建议结合企业需求选择IAM或是企业管理进行资源权限管理,关于两者的详细区别,请参见:IAM与企业管理的区别。
跨账号的资源操作与授权
如果您在华为云购买了多种资源,其中一种资源希望由其它账号管理,您可以使用IAM提供的委托功能。
例如您希望将资源委托给一家专业的代运维公司来运维,通过IAM的委托功能,代运维公司可以使用自己的账号对您委托的资源进行运维。当委托关系发生变化时,您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方,账号B为被委托方。
使用企业已有账号登录华为云
当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建对应的IAM用户,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有账号直接登录华为云,实现单点登录。
IAM访问方式
您可以通过以下任何一种方式访问IAM。
- 管理控制台
您可以通过基于浏览器的可视化界面,即控制台访问IAM。详情请参考如何进入IAM控制台。
- REST API
您可以使用IAM提供的REST API接口以编程方式访问IAM。详情请参考:API参考。
-
支持多因素认证,高风险敏感操作二次确认
- 华为云账号与IAM用户各自拥有独立访问凭证,支持登录双因子认证和虚拟MFA
- 提供自定义时长的临时安全凭证,安全访问华为云资源
- 高风险敏感操作需二次确认,避免误操作带来的风险
精细控制IAM用户的访问权限
- 用户分权,指定IAM用户或用户组对云服务的访问策略
- 资源分域,以区域或企业项目为边界,划分IAM用户可操作的资源范围
- 支持自定义策略,用户可根据自身需求定制访问控制策略
灵活管理,支持向账号和云服务委托权限
- 支持向账号委托权限,将账号资源的访问权限委托给更专业高效的其他华为云账号
- 支持向服务委托权限,让该华为云服务代替您访问云服务资源
支持自定义身份代理以及高效认证
- 支持基于SAML、OIDC标准协议的联邦身份认证,可实现通过企业已有身份系统登录华为云
- 支持自定义身份代理,通过编写代码获得华为云登录链接,企业用户通过企业IdP验证身份后,即可登录华为云
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/312815.html