如何經過IAM打造零信任安全架構

萬物互聯時代來臨，面對愈來愈嚴峻的企業網絡安全及複雜的（如微服務，容器編排和雲計算）開發、生產環境，企業 IT 急需一套全新的身份和訪問控制管理方案。

爲了知足企業需求，更好的服務企業用戶，青雲QingCloud 推出了 IAM 服務，使用者能夠統一管理和控制接入實體的認證和受權，更安全地自主管控帳戶下的任意資源訪問權限。

IAM 是什麼？

IAM 旨在統一構建雲平臺的權限管理標準，採用非對稱加密技術建立具有必定訪問時效的臨時 Token 爲訪問者賦予身份憑證，無需引入 Access Key ，身份的使用者能夠是人、 設備、應用等任何支持獲取憑證 Token 的實體。

當使用者須要爲他人或者應用賦予本身資源的訪問權限時，能夠按需配置任意粒度的權限和身份載體，沒必要再共享訪問密鑰，從而作到對接入實體的全方位統一管控，極大下降訪問密鑰被泄露的風險，提升平臺客戶信息的安全性。

IAM 功能及特性

一、訪問控制統一管理

QingCloud IAM 服務可將雲平臺各模塊的操做 API 進行統一納管，並定義各種服務及資源之間的關係。

由使用者自行編輯策略以組合成不一樣操做權限的集合後賦予其餘身份，最終實現對該使用者名下的服務或資源接入控制統一管理。

二、保障訪問安全

訪問憑證採用 RSA 非對稱加密算法，有效保證密鑰安全。

支持使用者自行設置和調整憑證 token 失效時間以保證憑證安全，使得身份憑證可在必定時間後自動失效。

三、模擬策略

評估支持針對任意複合策略指定 API 和資源範圍時模擬策略評估結果，以有效規避和防止複雜的策略權限組合偏離管理指望。

四、可視化管理

支持在建立策略時無縫切換可視化與編程模式，對比並生成精準策略權限概要，極大提高中高級企業客戶的權限定製體驗。

同時，使用者可自定義策略版本，並支持策略版本可視化對比管理，可一目瞭然看到各策略版本之間微小變化，從而專一於提高更流暢更便捷的操做體驗。

五、精細的控制粒度

基於雲服務 API 顆粒度建立訪問策略，支持容許和拒絕效力，支持多種服務及多重效力任意疊加，支持隨時切換爲開發者模式爲服務及 API 設置通配符。

六、細緻的權限策略設計

業內獨創將各種納管服務的 API 操做按只讀、維護和敏感分類而非單純的可讀可寫，旨在輔助管理權限的分配與設計，讓受權目標時更清晰、更謹慎、更安全。

七、豐富的信任載體

使用者能夠爲主機、帳戶、子帳戶，授予訪問權限。

IAM 最佳實踐

精細權限管理，多人跨帳號管理協做

在創業之初，企業對雲資源的安全管理要求不高，能夠接受使用一個訪問密鑰（Access Key）來操做全部資源。但隨着時間推移，企業逐漸成長爲大型公司時，組織架構變得更加複雜，可能同時有好幾個項目團隊共用雲資源。

這時就須要受權多人輔助管理資源、處理帳單等運維操做，過去只能將帳號密碼直接提供給對方使用，或將相關資源經過組合成項目的方式共享給他人操做，沒法保證雲資源的安全管理。

經過配置 IAM，使用者可直接將帳號中的部分操做權限賦予到不一樣的身份上，再分配給其餘人來使用，而無需考慮資源組合或權限分配不合理的問題。

例如，使用者可經過 IAM 容許子帳戶 A 經過代入其賦予的身份，徹底訪問本身帳戶中的彈性雲主機服務(支持建立、啓停或銷燬主機等)。同時容許 QingCloud 平臺中的另外一個帳戶 B 經過代入其賦予的身份，僅具有查看某個特定主機信息的權限。

管理應用共享訪問雲端資源/免密鑰應用開發

使用者在 QingCloud 公有云上開發應用，當須要在該應用中調用雲資源 API/CLI 以完成某些功能時，過去須要利用本身帳戶的 API 密鑰做爲該應用配置項，供有須要時鏈接使用，但會存在配置項意外泄露問題。

IAM 使其可向其雲端資源授予訪問權限，以管理和使用帳戶中的資源，而沒必要共享帳戶密碼或 API Access Key。

例如，使用者可經過爲本身的 QingCloud 雲主機配置 IAM 身份輕鬆實現免密鑰訪問，容許其雲主機中建立的應用經過集成 QingCloud 官方 SDK 獲取身份憑證信息，便可在應用中調用 QingCloud API/CLI 以訪問雲端資源。