更新时间:2024-03-20 GMT+08:00
应用场景
集中的身份管理,一次配置,即可安全访问多个账号的资源
大型企业在云上一般有多个账号,当前企业员工如需访问多个账号下的资源,需分别登录多个账号,或在多个账号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以:
- 集中创建和管理用户:
- 允许管理员集中创建用户,分配登录密码,并对其进行分组管理。
- 允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。
- 连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta:
- 允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。
- 支持通过SCIM协议自动化用户预置过程。管理员可以在外部身份提供商处管理用户,用户信息会自动同步到IAM身份中心,无需人工干预。
- 外部身份提供商用户可使用现有账号密码登录其门户,然后自动跳转至华为云来访问华为云账号下的资源,无需IAM身份中心管理员重新分配密码。
- 多因素认证(MFA):
- 允许管理员对用户强制实施MFA,降低密码泄露的风险。
- MFA设备支持基于TOTP协议的APP和基于FIDO2的硬件安全密钥设备。
支持细粒度授权,让用户集中、安全以及高效地分配每个账号资源的访问权限
大型企业在云上一般有多个账号,各个账号承载业务不同,登录的企业员工的职责也不同。需要针对不同账号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。
- 集中管理用户对多个账号资源的访问权限:
- 允许管理员使用不超过20个IAM权限策略创建权限集,实现批量的账号权限配置。
- 每个账号可以设置允许访问的用户和对应的权限集。
- IAM身份中心会自动将账号的权限信息同步到IAM,无需管理员在单个账号中重复授权。
- 基于属性的访问控制机制:
- 允许管理员通过支持属性的自定义策略创建权限集。包括用户和资源的组织、标签、请求时间、源地址等20+全局级属性及其他云服务级属性。
- 允许管理员利用身份提供商定义的业务标签创建权限集。业务标签会在联邦登录过程中被自动转换为IAM的身份标签属性,用于控制访问权限。
- 管理员只需一次性为所有用户定义权限,后续属性变化后策略中的条件键匹配结果也将发生变化,即可自动授予、撤销或修改访问权限。
