用户访问控制简介
大装置用户访问控制
大装置用户访问控制(Identity and Access Management)是一种用于满足安全身份管理、资源访问控制的机制和服务。
- IAM 系统可以通过定义哪些身份(Who)对哪些资源(What)具有哪种访问权限(How)来管理访问权限控制。其中访问权限在这里也可以视为角色(Role)。
- 在 IAM 中将通过把权限分组为多个角色,然后将这些角色授予经过身份验证的用户。
- IAM 策略用于定义和强制执行向哪些用户授予哪些角色。每个允许策略都会附加到资源。经过身份验证的用户尝试访问资源时,IAM 会检查资源的允许政策以确定是否允许该操作。
基本概念
身份管理概念
| 概念 | 说明 |
|---|---|
| 租户(Tenant) | 租户是不同实体(例如企业、个人、团队等)在同一个云服务提供商的基础设施上独立使用和管理资源的基本主体。大装置用户在注册时除了用于登录管理的根用户账号,将同时创建一个租户用于资源使用和计量计费。多租户间的资源、权限和计量计费完全隔离。 |
| 根用户(Root User) | 根用户(Root User)是一种实体类型,租户创建时将同时创建一个根用户账号,这个账号可以理解为是租户的主账号,将具有租户管理员的最高级管理权限,能够使用和分配租户内的所有账号和资源。 |
| IAM 用户(IAM User) | 用户(User)是一种实体类型,可以由租户管理员或其他具有用户管理权限的管理员创建。租户管理员可以通过选择自主创建方式创建多个用户或通过用户 LDAP 设置接入企业 AD 导入企业用户,并为他们绑定管理员角色来实现不同层级的身份管理。 |
| 访问密钥(AccessKey) | 访问密钥(Access Key ID/Secret Access Key,简称AK/SK)包含访问密钥 ID(AK)和秘密访问密钥(SK)两部分,是用户访问身份验证中会用到的长期身份凭证。在大装置中,您可以通过访问密钥对 API 的请求进行签名。系统通过 AK 识别访问用户的身份,通过 SK 对请求数据进行签名验证,用于确保请求的机密性完整性和请求者身份的正确性。 |
| 多因素认证(MFA) | 多因素认证(Multifactor Authentication)是一种便捷有效的账号安全保护方式。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要进行第二次身份验证,多重身份验证结合起来将为你的帐号和资源提供更高的安全保护。 |
访问控制概念
| 概念 | 说明 |
|---|---|
| 安全主体(Security Principal) | 安全主体(Security Principal)是获取权限的标识,可以是请求访问租户资源的用户、用户组。 授权时,可以将角色绑定给其中任何一个安全主体。 |
| 权限(Permission) | 权限指在某种条件下允许或拒绝对某些资源执行某些操作,用来描述用户、用户组对具体资源的访问能力。权限将会具体到某一特定的操作,例如读取、写入和删除等。 |
| 角色(Role) | 角色(Role)是一组权限的集合。角色会在租户维度列出对象可执行的一系列具体权限。 角色可以是高级别的(比如管理员)也可以是特定的(比如针对某一些资源)。大装置中包含了许多系统定义好的内置角色,内置角色由平台统一创建和维护,用户不可修改但可以在授权时直接使用。若要为用户绑定角色,可以在大装置角色管理中查看某个角色包含的具体权限。 |
| 生效范围(Scope) | 生效范围(Scope)是访问权限适用于的资源集,包括资源管理、费用中心、用户和用户组、审计服务四类权限生效范围,其中资源管理又分别包含管理组、订阅、资源组、资源四个资源层级。 授权时,可以通过定义生效范围来选择授权允许生效的资源集。 |
| 权限策略(Policy) | 权限策略(Policy)是用语法结构描述的角色和资源的权限绑定关系集合,可以精确地描述被授权的资源集、权限集以及授权条件。权限策略是描述权限集的一种简单语言规范。 |
| 绑定关系(Binding) | 绑定关系(Binding)是角色和用户绑定关系的一组集合。一组绑定关系中包括了成员(用户或用户组)、角色、条件和这组关系生效的范围。 |
| 条件(Condition) | 条件(Condition)指判断权限生效的条件,也可以理解为权限控制的力度。条件语句支持多种操作类型,目前商汤大装置支持时间 类型(Date and time)。 |