【云小课】应用平台第2课 超过99%的用户都在用的云服务!你不能不知道!

网友投稿 660 2022-05-30

从我们登录华为云的那一刻起,就开始了与统一身份认证服务(Identity and Access Management,简称IAM)的密切接触,为啥这么说?因为连华为云的登录页面都是IAM的程序猿小哥哥做的!除了登录,权限控制、用户管理、账号安全、资源隔离、联邦登录等都是IAM为所有用户提供的免费功能,可能你已经使用了IAM第n天却对IAM还不够了解,今天这一课我们就来聊一聊这个功能强大又操作便捷的云服务--IAM。

首先让万花筒带你快速了解IAM的重要功能。

【云小课】应用平台第2课 超过99%的用户都在用的云服务!你不能不知道!

谁能用IAM?

是你,就是屏幕对面的你!

权限管理--如果将你账号里的各种资源类比成一块大水果蛋糕,而你想把草莓味的只分给小A,又想把抹茶味的分给小B和小C一起吃,这就是一个典型的权限管理问题,IAM会把你的权限管理得明明白白,小A的蛋糕绝不让小B和小C看到。

账号安全管理--当你在华为云上购买的资源越来越多,一定会越来越担心“盗号风险”,连家里防盗门锁都升级了,华为云的账号安全怎能不升级?了解IAM的账号安全管理,给你的资源加上多重保险,妈妈再也不用担心我的账号安全!

委托--如果将你账号里的资源看成一个豪宅,而你想找一个专业的管家帮你打理豪宅内外的琐事,这就是一个典型的委托管理问题,来找IAM,帮你把你的各类委托分配的清清楚楚,如果你对你找的管家不满意,随时可以“解雇”他,取消委托关系。

身份提供商--什么?一个富二代刚刚继承了家族巨额财产还有多家上市企业?霸道总裁不想为公司员工逐一创建IAM用户又点名要使用华为云?安排!身份提供商让你的员工实现单点登录,再也不用辛苦记住无数个账号密码!

划重点了,如此强大怎么收费?免费!!!就是这么任性!

权限管理--他只能做你同意的事

使用IAM,你可以将账号内不同的资源按需分配给你创建的IAM用户,IAM用户使用自己独立的用户名和密码登录,向密码共享说NO!实现安全而精细的权限管理,同时满足企业对权限最小化的安全管控要求。例如图1:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。了解更多请猛戳→给IAM用户授权。

当前已有大量云服务支持通过IAM进行资源管理,同时在IAM内置多个云服务系统权限,如果系统权限不满足您的要求您还可以创建自定义策略。为了您的权限管理更加便捷,IAM还在不断探究新方向,总之,权限管理这一块,IAM为您承包!

图1 权限管理模型

账号安全管理--全力保障你的账号安全

当您开始使用华为云的一刻起,保障您的账号安全就是我们首要的任务!

IAM为您提供多种账号安全保护功能,您可以根据自己的需求进行开启或关闭:

设置登录验证策略和密码策略,从源头保护您的账号。

开启敏感操作保护,您及子用户在进行敏感操作时都需要进行身份验证。

设置访问控制策略,限制用户只能从特定IP地址区间、网段及VPC Endpoint访问华为云。

委托--让其他账号或者云服务管理你的资源

账号委托

您可以使用IAM提供的委托功能,将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号,被委托的账号可以根据权限代替您进行资源运维工作。当委托关系发生变化时,您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方,账号B为被委托方。了解更多请猛戳→委托某个云账号管理您账号下的资源

云服务委托

由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。了解更多请猛戳→委托某个云服务管理您账号下的资源

例如:在使用elasticsearch服务时,Elasticsearch服务请求获取您其他云服务和资源的权限,创建委托并授权后,在发生故障转移时,Elasticsearch可以使用这个委托将您的弹性IP绑定到主Elasticsearch实例,帮助您进行资源运维。

身份提供商--实现企业员工一键登录上云

当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建用户时,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有账号直接登录华为云,实现单点登录。了解更多请猛戳→身份提供商

身份提供商这个词可能您不太熟悉,但您的生活中一定在经常使用这个功能,举个简单的例子:小明今天第一次在“饿得很”外卖平台点外卖,觉得注册账号很麻烦,看到界面上有个按钮“使用某宝账号登录”,点击之后按照引导在某宝授权,就直接登录了“饿得很”外卖,省去了再填一遍个人信息的麻烦。这就是一个典型的联邦身份认证的场景,其中某宝是“身份提供商 IdP”,饿得很外卖平台是“服务提供商 SP”,SP和IdP通过用户授权建立信任关系实现用户单点登录,但SP不获取、储存用户信息,只获取IdP验证用户身份的结果。

欢迎围观更多IAM信息

IAM控制台

IAM产品介绍

IAM用户指南

IAMAPI参考

今天的小课初步介绍了IAM的基本功能,下一期,带你玩转IAM的授权功能!一起期待吧!

云小课 统一身份认证服务 IAM

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:DevOps组织I&O专业人员新角色分析与技能提升
下一篇:聊聊LiteOS中生成的Bin、HEX、ELF三种文件格式
相关文章