身份认证与访问控制

身份认证

统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助用户安全地控制云服务和资源的访问权限。

虚拟私有云支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。

管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予VPC所需的权限，组内用户自动继承用户组的所有权限。

• IAM的详细介绍，请参见IAM功能介绍。
• VPC所需的权限，请参见权限管理。

访问控制

• 安全组

  安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。

  华为云提供了管理安全组和安全组规则的功能：创建安全组、删除安全组、添加安全组规则、快速添加多条安全组规则、复制安全组规则、修改区安全组规则、删除安全组规则、导入/导出安全组规则、查看弹性云服务器的安全组、变更弹性云服务器的安全组、云资源加入/移出安全组等。

  用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。

  详情请参见安全组。

• 网络ACL

  网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。

  华为云提供了管理网络ACL和网络ACL规则的功能：创建网络ACL、查看网络ACL、修改网络ACL、删除网络ACL、开启/关闭网络ACL、关联/解除子网和网络ACL、添加网络ACL规则、修改网络ACL规则、修改网络ACL规则生效顺序、开启/关闭网络ACL规则、删除网络ACL规则等。

  用户可以通过与子网关联的出方向/入方向规则控制出入子网的数据流。

  详情请参见网络ACL。