文档首页/ 统一身份认证服务 IAM/ 产品介绍/ IAM功能
更新时间:2025-11-07 GMT+08:00
查看PDF
分享

IAM功能

IAM为您提供的主要功能包括:精细的权限管理、IAM用户管理、用户组管理、自定义策略、项目管理、委托管理、设置账号安全策略、多因素认证、联邦身份认证等。

精细的权限管理

使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。例如:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。
图1 权限管理模型

IAM用户管理

由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM不拥有资源,IAM用户的权限和资源由所属账号统一控制。

图2 账号和IAM用户的关系

用户组管理

用户组是IAM用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。当某个IAM用户加入多个用户组时,此IAM用户同时拥有多个用户组的权限,即多个用户组权限的全集。如果用户权限变更,只需在用户组中删除用户或将用户添加进其他用户组,实现快捷的用户授权。

“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

图3 用户组与用户

自定义策略

如果系统权限不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。

项目管理

区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。

图4 项目隔离模型

委托管理

IAM提供委托其他账号和委托其他云服务两种委托。

  • 委托其他账号管理资源:通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号,被委托的账号可以根据权限代替您进行资源运维工作。如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。
    图5 账号A创建委托
  • 委托其他云服务管理资源:由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。以图引擎服务 GES为例:将操作权限委托给GES,允许GES以您的身份使用其他服务,例如发生故障转移时,GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。

    以图引擎服务 GES为例:将操作权限委托给GES,允许GES以您的身份使用其他服务,例如发生故障转移时,GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。

    图6 云服务委托

设置账号安全策略

通过设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统数据的安全性。

多因素认证

多因素认证是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

多因素认证主要应用在登录验证和操作保护中,开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页面输入验证码;开启了操作保护后,用户进行敏感操作时,需要输入验证码确认操作

联邦身份认证

IAM支持基于SAML、OIDC协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证

审计

云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪、问题回溯和问题定位等常见应用场景。

为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。

IAM安全实践

为了帮助您安全地控制对华为云资源的访问,请您遵循安全使用IAM的建议。具体请参见安全使用IAM

API

统一身份认证服务提供了REST(Representational State Transfer)API,支持您通过HTTPS请求调用。具体请参见如何调用API

SDK

统一身份认证服务提供适合企业级组织结构的用户账号管理机制,为企业成员分配不同的资源及操作权限,借助SDK开发包,您可以很容易的调用IAM的API接口,创建基于华为云的上层应用。目前支持:Java、Python、Go、NodeJs、.NET、PHP。

安全访问

您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。

最终一致性

最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。

相关文档