【云小课】应用平台第2课 超过99%的用户都在用的云服务!你不能不知道!
从我们登录华为云的那一刻起,就开始了与统一身份认证服务(Identity and Access Management,简称IAM)的密切接触,为啥这么说?因为连华为云的登录页面都是IAM的程序猿小哥哥做的!除了登录,权限控制、用户管理、账号安全、资源隔离、联邦登录等都是IAM为所有用户提供的免费功能,可能你已经使用了IAM第n天却对IAM还不够了解,今天这一课我们就来聊一聊这个功能强大又操作便捷的云服务--IAM。
首先让万花筒带你快速了解IAM的重要功能。
谁能用IAM?
是你,就是屏幕对面的你!
权限管理--如果将你账号里的各种资源类比成一块大水果蛋糕,而你想把草莓味的只分给小A,又想把抹茶味的分给小B和小C一起吃,这就是一个典型的权限管理问题,IAM会把你的权限管理得明明白白,小A的蛋糕绝不让小B和小C看到。
账号安全管理--当你在华为云上购买的资源越来越多,一定会越来越担心“盗号风险”,连家里防盗门锁都升级了,华为云的账号安全怎能不升级?了解IAM的账号安全管理,给你的资源加上多重保险,妈妈再也不用担心我的账号安全!
委托--如果将你账号里的资源看成一个豪宅,而你想找一个专业的管家帮你打理豪宅内外的琐事,这就是一个典型的委托管理问题,来找IAM,帮你把你的各类委托分配的清清楚楚,如果你对你找的管家不满意,随时可以“解雇”他,取消委托关系。
身份提供商--什么?一个富二代刚刚继承了家族巨额财产还有多家上市企业?霸道总裁不想为公司员工逐一创建IAM用户又点名要使用华为云?安排!身份提供商让你的员工实现单点登录,再也不用辛苦记住无数个账号密码!
划重点了,如此强大怎么收费?免费!!!就是这么任性!
权限管理--他只能做你同意的事
使用IAM,你可以将账号内不同的资源按需分配给你创建的IAM用户,IAM用户使用自己独立的用户名和密码登录,向密码共享说NO!实现安全而精细的权限管理,同时满足企业对权限最小化的安全管控要求。例如图1:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。了解更多请猛戳→给IAM用户授权。
当前已有大量云服务支持通过IAM进行资源管理,同时在IAM内置多个云服务系统权限,如果系统权限不满足您的要求您还可以创建自定义策略。为了您的权限管理更加便捷,IAM还在不断探究新方向,总之,权限管理这一块,IAM为您承包!
图1 权限管理模型
账号安全管理--全力保障你的账号安全
当您开始使用华为云的一刻起,保障您的账号安全就是我们首要的任务!
IAM为您提供多种账号安全保护功能,您可以根据自己的需求进行开启或关闭:
委托--让其他账号或者云服务管理你的资源
账号委托
您可以使用IAM提供的委托功能,将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号,被委托的账号可以根据权限代替您进行资源运维工作。当委托关系发生变化时,您可以随时修改或撤消对代运维公司的授权。下图中账号A即为委托方,账号B为被委托方。了解更多请猛戳→委托某个云账号管理您账号下的资源
云服务委托
由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。了解更多请猛戳→委托某个云服务管理您账号下的资源
例如:在使用Elasticsearch服务时,Elasticsearch服务请求获取您其他云服务和资源的权限,创建委托并授权后,在发生故障转移时,Elasticsearch可以使用这个委托将您的弹性IP绑定到主Elasticsearch实例,帮助您进行资源运维。
身份提供商--实现企业员工一键登录上云
当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建用户时,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有账号直接登录华为云,实现单点登录。了解更多请猛戳→身份提供商
身份提供商这个词可能您不太熟悉,但您的生活中一定在经常使用这个功能,举个简单的例子:小明今天第一次在“饿得很”外卖平台点外卖,觉得注册账号很麻烦,看到界面上有个按钮“使用某宝账号登录”,点击之后按照引导在某宝授权,就直接登录了“饿得很”外卖,省去了再填一遍个人信息的麻烦。这就是一个典型的联邦身份认证的场景,其中某宝是“身份提供商 IdP”,饿得很外卖平台是“服务提供商 SP”,SP和IdP通过用户授权建立信任关系实现用户单点登录,但SP不获取、储存用户信息,只获取IdP验证用户身份的结果。
欢迎围观更多IAM信息
今天的小课初步介绍了IAM的基本功能,下一期,带你玩转IAM的授权功能!一起期待吧!
- 点赞
- 收藏
- 关注作者
评论(0)