【云小課】應用平臺第2課 超過99%的用戶都在用的云服務！你不能不知道！

從我們登錄華為云的那一刻起，就開始了與統(tǒng)一身份認證服務（Identity and Access Management，簡稱IAM）的密切接觸，為啥這么說？因為連華為云的登錄頁面都是IAM的程序猿小哥哥做的！除了登錄，權限控制、用戶管理、賬號安全、資源隔離、聯(lián)邦登錄等都是IAM為所有用戶提供的免費功能，可能你已經(jīng)使用了IAM第n天卻對IAM還不夠了解，今天這一課我們就來聊一聊這個功能強大又操作便捷的云服務--IAM。

首先讓萬花筒帶你快速了解IAM的重要功能。

誰能用IAM？

是你，就是屏幕對面的你！

權限管理--如果將你賬號里的各種資源類比成一塊大水果蛋糕，而你想把草莓味的只分給小A，又想把抹茶味的分給小B和小C一起吃，這就是一個典型的權限管理問題，IAM會把你的權限管理得明明白白，小A的蛋糕絕不讓小B和小C看到。

賬號安全管理--當你在華為云上購買的資源越來越多，一定會越來越擔心“盜號風險”，連家里防盜門鎖都升級了，華為云的賬號安全怎能不升級？了解IAM的賬號安全管理，給你的資源加上多重保險，媽媽再也不用擔心我的賬號安全！

委托--如果將你賬號里的資源看成一個豪宅，而你想找一個專業(yè)的管家?guī)湍愦蚶砗勒瑑韧獾默嵤拢@就是一個典型的委托管理問題，來找IAM，幫你把你的各類委托分配的清清楚楚，如果你對你找的管家不滿意，隨時可以“解雇”他，取消委托關系。

身份提供商--什么？一個富二代剛剛繼承了家族巨額財產(chǎn)還有多家上市企業(yè)？霸道總裁不想為公司員工逐一創(chuàng)建IAM用戶又點名要使用華為云？安排！身份提供商讓你的員工實現(xiàn)單點登錄，再也不用辛苦記住無數(shù)個賬號密碼！

劃重點了，如此強大怎么收費？免費！！！就是這么任性！

權限管理--他只能做你同意的事

使用IAM，你可以將賬號內不同的資源按需分配給你創(chuàng)建的IAM用戶，IAM用戶使用自己獨立的用戶名和密碼登錄，向密碼共享說NO！實現(xiàn)安全而精細的權限管理，同時滿足企業(yè)對權限最小化的安全管控要求。例如圖1：控制用戶Charlie能管理項目B的VPC，而讓用戶James只能查看項目B中VPC的數(shù)據(jù)。了解更多請猛戳→給IAM用戶授權。

當前已有大量云服務支持通過IAM進行資源管理，同時在IAM內置多個云服務系統(tǒng)權限，如果系統(tǒng)權限不滿足您的要求您還可以創(chuàng)建自定義策略。為了您的權限管理更加便捷，IAM還在不斷探究新方向，總之，權限管理這一塊，IAM為您承包！

圖1 權限管理模型

賬號安全管理--全力保障你的賬號安全

當您開始使用華為云的一刻起，保障您的賬號安全就是我們首要的任務！

IAM為您提供多種賬號安全保護功能，您可以根據(jù)自己的需求進行開啟或關閉：

設置登錄驗證策略和密碼策略，從源頭保護您的賬號。

開啟敏感操作保護，您及子用戶在進行敏感操作時都需要進行身份驗證。

設置訪問控制策略，限制用戶只能從特定IP地址區(qū)間、網(wǎng)段及VPC Endpoint訪問華為云。

委托--讓其他賬號或者云服務管理你的資源

賬號委托

您可以使用IAM提供的委托功能，將自己賬號中的資源操作權限委托給更專業(yè)、高效的其他華為云賬號，被委托的賬號可以根據(jù)權限代替您進行資源運維工作。當委托關系發(fā)生變化時，您可以隨時修改或撤消對代運維公司的授權。下圖中賬號A即為委托方，賬號B為被委托方。了解更多請猛戳→委托某個云賬號管理您賬號下的資源

云服務委托

由于華為云各服務之間存在業(yè)務交互關系，一些云服務需要與其他云服務協(xié)同工作，需要您創(chuàng)建云服務委托，將操作權限委托給該服務，讓該服務以您的身份使用其他云服務，代替您進行一些資源運維工作。了解更多請猛戳→委托某個云服務管理您賬號下的資源

例如：在使用elasticsearch服務時，elasticsearch服務請求獲取您其他云服務和資源的權限，創(chuàng)建委托并授權后，在發(fā)生故障轉移時，Elasticsearch可以使用這個委托將您的彈性IP綁定到主Elasticsearch實例，幫助您進行資源運維。

身份提供商--實現(xiàn)企業(yè)員工一鍵登錄上云

當您希望本企業(yè)員工可以使用企業(yè)內部的認證系統(tǒng)登錄華為云，而不需要在華為云中重新創(chuàng)建用戶時，您可以使用IAM的身份提供商功能，建立您所在企業(yè)與華為云的信任關系，通過聯(lián)合認證使員工使用企業(yè)已有賬號直接登錄華為云，實現(xiàn)單點登錄。了解更多請猛戳→身份提供商

身份提供商這個詞可能您不太熟悉，但您的生活中一定在經(jīng)常使用這個功能，舉個簡單的例子：小明今天第一次在“餓得很”外賣平臺點外賣，覺得注冊賬號很麻煩，看到界面上有個按鈕“使用某寶賬號登錄”，點擊之后按照引導在某寶授權，就直接登錄了“餓得很”外賣，省去了再填一遍個人信息的麻煩。這就是一個典型的聯(lián)邦身份認證的場景，其中某寶是“身份提供商 IdP”，餓得很外賣平臺是“服務提供商 SP”，SP和IdP通過用戶授權建立信任關系實現(xiàn)用戶單點登錄，但SP不獲取、儲存用戶信息，只獲取IdP驗證用戶身份的結果。

歡迎圍觀更多IAM信息

IAM控制臺

IAM產(chǎn)品介紹

IAM用戶指南

IAMAPI參考

今天的小課初步介紹了IAM的基本功能，下一期，帶你玩轉IAM的授權功能！一起期待吧！

云小課 統(tǒng)一身份認證服務 IAM

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。

版權聲明：本文內容由網(wǎng)絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內刪除侵權內容。