【云小课】应用平台第2课 超过99%的用户都在用的云服务！你不能不知道！

从我们登录华为云的那一刻起，就开始了与统一身份认证服务（Identity and Access Management，简称IAM）的密切接触，为啥这么说？因为连华为云的登录页面都是IAM的程序猿小哥哥做的！除了登录，权限控制、用户管理、账号安全、资源隔离、联邦登录等都是IAM为所有用户提供的免费功能，可能你已经使用了IAM第n天却对IAM还不够了解，今天这一课我们就来聊一聊这个功能强大又操作便捷的云服务--IAM。

首先让万花筒带你快速了解IAM的重要功能。

谁能用IAM？

是你，就是屏幕对面的你！

权限管理--如果将你账号里的各种资源类比成一块大水果蛋糕，而你想把草莓味的只分给小A，又想把抹茶味的分给小B和小C一起吃，这就是一个典型的权限管理问题，IAM会把你的权限管理得明明白白，小A的蛋糕绝不让小B和小C看到。

账号安全管理--当你在华为云上购买的资源越来越多，一定会越来越担心“盗号风险”，连家里防盗门锁都升级了，华为云的账号安全怎能不升级？了解IAM的账号安全管理，给你的资源加上多重保险，妈妈再也不用担心我的账号安全！

委托--如果将你账号里的资源看成一个豪宅，而你想找一个专业的管家帮你打理豪宅内外的琐事，这就是一个典型的委托管理问题，来找IAM，帮你把你的各类委托分配的清清楚楚，如果你对你找的管家不满意，随时可以“解雇”他，取消委托关系。

身份提供商--什么？一个富二代刚刚继承了家族巨额财产还有多家上市企业？霸道总裁不想为公司员工逐一创建IAM用户又点名要使用华为云？安排！身份提供商让你的员工实现单点登录，再也不用辛苦记住无数个账号密码！

划重点了，如此强大怎么收费？免费！！！就是这么任性！

权限管理--他只能做你同意的事

使用IAM，你可以将账号内不同的资源按需分配给你创建的IAM用户，IAM用户使用自己独立的用户名和密码登录，向密码共享说NO！实现安全而精细的权限管理，同时满足企业对权限最小化的安全管控要求。例如图1：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。了解更多请猛戳→给IAM用户授权。

当前已有大量云服务支持通过IAM进行资源管理，同时在IAM内置多个云服务系统权限，如果系统权限不满足您的要求您还可以创建自定义策略。为了您的权限管理更加便捷，IAM还在不断探究新方向，总之，权限管理这一块，IAM为您承包！

图1 权限管理模型

账号安全管理--全力保障你的账号安全

当您开始使用华为云的一刻起，保障您的账号安全就是我们首要的任务！

IAM为您提供多种账号安全保护功能，您可以根据自己的需求进行开启或关闭：

设置登录验证策略和密码策略，从源头保护您的账号。

开启敏感操作保护，您及子用户在进行敏感操作时都需要进行身份验证。

设置访问控制策略，限制用户只能从特定IP地址区间、网段及VPC Endpoint访问华为云。

委托--让其他账号或者云服务管理你的资源

账号委托

您可以使用IAM提供的委托功能，将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号，被委托的账号可以根据权限代替您进行资源运维工作。当委托关系发生变化时，您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方，账号B为被委托方。了解更多请猛戳→委托某个云账号管理您账号下的资源

云服务委托

由于华为云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。了解更多请猛戳→委托某个云服务管理您账号下的资源

例如：在使用elasticsearch服务时，Elasticsearch服务请求获取您其他云服务和资源的权限，创建委托并授权后，在发生故障转移时，Elasticsearch可以使用这个委托将您的弹性IP绑定到主Elasticsearch实例，帮助您进行资源运维。

身份提供商--实现企业员工一键登录上云

当您希望本企业员工可以使用企业内部的认证系统登录华为云，而不需要在华为云中重新创建用户时，您可以使用IAM的身份提供商功能，建立您所在企业与华为云的信任关系，通过联合认证使员工使用企业已有账号直接登录华为云，实现单点登录。了解更多请猛戳→身份提供商

身份提供商这个词可能您不太熟悉，但您的生活中一定在经常使用这个功能，举个简单的例子：小明今天第一次在“饿得很”外卖平台点外卖，觉得注册账号很麻烦，看到界面上有个按钮“使用某宝账号登录”，点击之后按照引导在某宝授权，就直接登录了“饿得很”外卖，省去了再填一遍个人信息的麻烦。这就是一个典型的联邦身份认证的场景，其中某宝是“身份提供商 IdP”，饿得很外卖平台是“服务提供商 SP”，SP和IdP通过用户授权建立信任关系实现用户单点登录，但SP不获取、储存用户信息，只获取IdP验证用户身份的结果。

欢迎围观更多IAM信息

IAM控制台

IAM产品介绍

IAM用户指南

IAMAPI参考

今天的小课初步介绍了IAM的基本功能，下一期，带你玩转IAM的授权功能！一起期待吧！

云小课 统一身份认证服务 IAM

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。