访问鉴权管理 (IAM)
访问鉴权管理 ( Identity and Access Management,简称IAM ),是青云QingCloud 在云平台上提供的身份识别和访问控制服务。使用者可以统一管理和控制接入实体的认证和授权,更安全地自主管控账户下的任意资源访问权限。

产品特性

访问控制统一管理

青云QingCloud IAM 服务可将云平台各模块的操作 API 进行统一纳管,并定义各类服务及资源之间的关系,由使用者自行编辑策略以组合成不同操作权限的集合后赋予其他身份,最终实现对该使用者名下的服务或资源接入控制统一管理。

保障访问安全

访问凭证采用 RSA 非对称加密算法,有效保证密钥安全。并支持使用者自行设置和调整凭证 Token 失效时间以保证凭证安全,使得身份凭证可在一定时间后自动失效。

模拟策略评估

支持针对任意复合策略指定 API 和资源范围时模拟策略评估结果,以有效规避和防止复杂的策略权限组合偏离管理期望。

可视化管理

支持在创建策略时无缝切换可视化与编程模式,对比并生成精准策略权限概要,极大提升中高级企业客户的权限定制体验。同时,使用者可自定义策略版本,并支持策略版本可视化对比管理,可一目了然看到各策略版本之间微小变化,从而专注于提升更流畅更便捷的操作体验。

精细的控制粒度

基于云服务 API 颗粒度创建访问策略,支持允许和拒绝效力,支持多种服务及多重效力任意叠加,支持随时切换为开发者模式为服务及 API 设置通配符。

细致的权限策略设计

业内首创将各类纳管服务的 API 操作按只读、维护和敏感分类而非单纯的可读可写, 旨在辅助管理权限的分配与设计,让授权目标时更清晰、更谨慎、更安全。

丰富的信任载体

使用者可以为其账号、主机及子账户创建身份,并授予访问权限。

产品功能

身份管理

身份用于管理当前账户的临时接入访问。使用者可通过创建身份可以授权其他账户访问自己的云资源,也可以授权 青云QingCloud 平台设备或应用访问自己的云资源,而无需借助账号密码或密钥。身份需要附加策略后使用,当身份被附加了一定权限范围的策略后,则该身份将具备此策略定义的访问权限。 目前支持面向账户、子帐户、主机创建身份,并赋予访问凭证。访问凭证支持设置失效时间,并可自动更新。

策略管理

策略是一系列青云QingCloud 云服务自定义权限的集合。使用者通过 IAM 策略定义某个服务或资源的权限范围后,可以将该策略附加到指定的身份上,身份将获得此策略所定义的访问权限。青云QingCloud 提供了一系列系统预置策略以满足客户日常管理需要,客户也可以通过 IAM 管理控制台可视化配置策略以满足其特定权限管理需求。同时,为了帮助使用者更好的验证多种策略复合之后的实际效果,IAM 还提供策略模拟功能,使用者可按具体身份已附加的复合策略针对精细 API 指定资源范围进行模拟测试,并能实时调整不同的身份、策略内容、策略组合再次重新模拟验证。

应用场景

精细权限管理,多人跨账号管理协作

在创业之初,企业对云资源的安全管理要求不高,可以接受使用一个访问密钥(Access Key)来操作所有资源。但随着时间推移,企业逐渐成长为大型公司时,组织架构变得更加复杂,可能同时有好几个项目团队共用云资源。这时就需要授权多人辅助管理资源、处理账单等运维操作,过去只能将账号密码直接提供给对方使用,或将相关资源通过组合成项目的方式共享给他人操作,无法保证云资源的安全管理。

通过配置 IAM,使用者可直接将账号中的部分操作权限赋予到不同的身份上,再分配给其他人来使用,而无需考虑资源组合或权限分配不合理的问题。

管理应用共享访问云端资源/免密钥应用开发

使用者在青云QingCloud 公有云上开发应用,当需要在该应用中调用云资源 API/CLI 以完成某些功能时,过去需要利用自己账户的 API 密钥作为该应用配置项,供有需要时连接使用,但会存在配置项意外泄露问题。

IAM 使其可向其云端资源授予访问权限,以管理和使用账户中的资源,而不必共享账户密码或 API Access Key。