1.简述
IAM(IDENTITY & ACCESS MANAGEMENT),身份验证以及访问控制,一种对资源提供可控安全的访问解决方案,现在的公有云基本都支持IAM来对公有云资源提供授权访问,各大云厂商命名可能不一致,如阿里称为RAM (Resource Access Management),但所支持功能基本都是一样.
概况来说IAM主要在发生资源访问时,首先是身份验证,然后是访问权限验证,以上两步通过后才能访问资源.否则访问会被拒绝.
2.关键术语
- User(用户)
这里是指创建的IAM用户,一般由管理用户创建,新创建的用户没有任何权限.
- Resource(资源)
这里一般指需要进行访问控制的产品,如公有云的数据库,虚拟机等.
- Group(用户组)
这里是指用户组,可以将用户划分为不同用户组,授权时针对用户组授权,提高授权效率.
- Policy(授权策略)
用来描述授权策略的一种描述语言,用于描述谁在xx条件下对xx资源具有xx操作.
- AK (Access Key)
访问密钥由AccessKeyID和AccessKeySecret组成,用于云服务API请求的身份认证.
- MFA (Multi-Factor Authentication)
主要为他们输入用户名和密码(第一安全要素-用户已知),还需要MFA设备的身份