【云小课】应用平台第2课 超过99%的用户都在用的云服务!你不能不知道!

举报
应用万花筒 发表于 2020/04/08 15:36:52 2020/04/08
【摘要】 从我们登录华为云的那一刻起,就开始了与统一身份认证服务(Identity and Access Management,简称IAM)的密切接触,为啥这么说?因为连华为云的登录页面都是IAM的程序猿小哥哥做的!除了登录,权限控制、用户管理、账号安全、资源隔离、联邦登录等都是IAM为所有用户提供的免费功能,可能你已经使用了IAM第n天却对IAM还不够了解,今天这一课我们就来聊一聊这个功能强大又操作...

从我们登录华为云的那一刻起,就开始了与统一身份认证服务(Identity and Access Management,简称IAM)的密切接触,为啥这么说?因为连华为云的登录页面都是IAM的程序猿小哥哥做的!除了登录,权限控制、用户管理、账号安全、资源隔离、联邦登录等都是IAM为所有用户提供的免费功能,可能你已经使用了IAM第n天却对IAM还不够了解,今天这一课我们就来聊一聊这个功能强大又操作便捷的云服务--IAM。

首先让万花筒带你快速了解IAM的重要功能。

谁能用IAM?

是你,就是屏幕对面的你!

  • 权限管理--如果将你账号里的各种资源类比成一块大水果蛋糕,而你想把草莓味的只分给小A,又想把抹茶味的分给小B和小C一起吃,这就是一个典型的权限管理问题,IAM会把你的权限管理得明明白白,小A的蛋糕绝不让小B和小C看到。

  • 账号安全管理--当你在华为云上购买的资源越来越多,一定会越来越担心“盗号风险”,连家里防盗门锁都升级了,华为云的账号安全怎能不升级?了解IAM的账号安全管理,给你的资源加上多重保险,妈妈再也不用担心我的账号安全!

  • 委托--如果将你账号里的资源看成一个豪宅,而你想找一个专业的管家帮你打理豪宅内外的琐事,这就是一个典型的委托管理问题,来找IAM,帮你把你的各类委托分配的清清楚楚,如果你对你找的管家不满意,随时可以“解雇”他,取消委托关系。

  • 身份提供商--什么?一个富二代刚刚继承了家族巨额财产还有多家上市企业?霸道总裁不想为公司员工逐一创建IAM用户又点名要使用华为云?安排!身份提供商让你的员工实现单点登录,再也不用辛苦记住无数个账号密码!

划重点了,如此强大怎么收费?免费!!!就是这么任性!

权限管理--他只能做你同意的事

使用IAM,你可以将账号内不同的资源按需分配给你创建的IAM用户,IAM用户使用自己独立的用户名和密码登录,向密码共享说NO!实现安全而精细的权限管理,同时满足企业对权限最小化的安全管控要求。例如图1:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。了解更多请猛戳→给IAM用户授权

当前已有大量云服务支持通过IAM进行资源管理,同时在IAM内置多个云服务系统权限,如果系统权限不满足您的要求您还可以创建自定义策略。为了您的权限管理更加便捷,IAM还在不断探究新方向,总之,权限管理这一块,IAM为您承包!

图1 权限管理模型

1586330490511840.png


账号安全管理--全力保障你的账号安全

当您开始使用华为云的一刻起,保障您的账号安全就是我们首要的任务!

IAM为您提供多种账号安全保护功能,您可以根据自己的需求进行开启或关闭:


委托--让其他账号或者云服务管理你的资源

  • 账号委托

    您可以使用IAM提供的委托功能,将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号,被委托的账号可以根据权限代替您进行资源运维工作。当委托关系发生变化时,您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方,账号B为被委托方。了解更多请猛戳→委托某个云账号管理您账号下的资源


    1586330804244117.png

  • 云服务委托

    由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。了解更多请猛戳→委托某个云服务管理您账号下的资源

    例如:在使用Elasticsearch服务时,Elasticsearch服务请求获取您其他云服务和资源的权限,创建委托并授权后,在发生故障转移时,Elasticsearch可以使用这个委托将您的弹性IP绑定到主Elasticsearch实例,帮助您进行资源运维。

    1586330823144507.png

身份提供商--实现企业员工一键登录上云

当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建用户时,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有账号直接登录华为云,实现单点登录。了解更多请猛戳→身份提供商

身份提供商这个词可能您不太熟悉,但您的生活中一定在经常使用这个功能,举个简单的例子:小明今天第一次在“饿得很”外卖平台点外卖,觉得注册账号很麻烦,看到界面上有个按钮“使用某宝账号登录”,点击之后按照引导在某宝授权,就直接登录了“饿得很”外卖,省去了再填一遍个人信息的麻烦。这就是一个典型的联邦身份认证的场景,其中某宝是“身份提供商 IdP”,饿得很外卖平台是“服务提供商 SP”,SP和IdP通过用户授权建立信任关系实现用户单点登录,但SP不获取、储存用户信息,只获取IdP验证用户身份的结果。

1586330895410843.png

欢迎围观更多IAM信息



今天的小课初步介绍了IAM的基本功能,下一期,带你玩转IAM的授权功能!一起期待吧!


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。