全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

产品简介

最近更新时间:2023-11-16 19:10:43

什么是访问控制

访问控制( Identity and Access Management ,IAM) 是金山云提供的管理用户身份与资源访问权限的基础服务。 可以实现安全且精细化管理金山云云服务和资源的访问。访问控制为免费产品,只要经过实名认证的金山云主账号就可以直接使用。

当您的企业存在多用户协同操作资源的场景时,访问控制可以让您避免与其他用户共享金山云主账号密钥,您可以创建子用户并按需为子用户分配最小权限,从而降低企业的安全风险。
使用访问控制前,您先需要拥有一个金山云主账号,然后您可以在主账号名下创建、管理子用户(例如员工、系统或应用程序),并可以控制这些子用户对资源的访问操作权限,对系统服务的访问操作权限(如账单查询、下载等)。

功能特性

1. 管理访问权限

在主账号名下创建子用户,管理每个子用户的账号信息、登录密码、访问密钥、多因素认证等。

2. 精细化的权限管理

控制子用户的访问权限,给子用户分配主账号下资源的访问和管理权限。

(1)丰富的权限策略:针对不同的资源,授权给不同的人员不同的访问权限。当前系统支持两种权限策略:

  • 系统策略:IAM提供了多种满足日常运维人员职责所需要的系统权限策略。
  • 自定义策略:如果系统权限策略不能满足您的需求,您还可以创建自定义权限策略。

(2)精细的控制粒度

  • 支持在资源级和操作级给子用户、用户组和角色授予访问权限。
  • 支持根据请求源IP区间、资源范围等条件属性创建更精细的资源访问控制策略。

3. 身份联合登录(单点登录SSO)

金山云提供SSO功能,支持用户使用企业身份提供商IdP账号单点登录金山云,无需再创建金山云账号。目前金山云支持两种SSO登录方式:

  • 通过角色SSO:企业可以在本地IdP中管理员工信息,无需进行金山云和企业IdP间的用户同步,企业员工将使用指定的角色来登录金山云。
  • 通过用户SSO:企业员工在登录后,将以子用户身份访问金山云。

使用场景

场景 场景描述 企业要求 解决方案
子用户管理与授权 企业A的某个项目上云,购买了多种金山云资源。其团队成员需要使用资源 ,每个团队成员的职责不同,需要的权限也不同。为了降低企业信息安全风险,企业管理员A不希望共享其云账号的密码/访问密钥给所有需要的员工(等于授权所有操作权限)。 企业A有如下要求:
1. 不希望多员工共享同一个主账号,共享主账号可能导致密码或访问密钥泄露。
2. 希望能给员工创建独立账号(操作员账号)并独立分配权限。
3. 希望员工的账号只能在授权的前提下操作资源,所有员工的账号的所有操作行为都有记录。
4. 希望随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
1. 创建子用户:使用访问控制的子用户管理功能,给员工或应用程序创建子用户。
2. 为子用户授权:根据员工对资源所需的访问操作权限,授予子用户刚好完成工作所需的权限策略。
用户组管理与授权 企业A的某个项目上云,购买了多种金山云资源现在由企业A内部某个团队的多个员工一同管理云上资源,企业A需为该团队内的成员分配相同的访问管理权限。 企业A有如下要求:
1. 希望可以统一给所有团队成员授权,无需对每个用户单独操作授权。
2. 当该团队新加入某个成员时,只需将其移动到相应职责的组下,即可获得相同的权限
3. 当团队的权限发生变化时,只需修改组的权限策略,即可应用到所有团队成员里。
1. 创建用户组:使用访问控制的用户组管理功能,创建用户组。
2.为用户组添加子用户:将拥有相同权限策略的子用户添加到用户组里。
3. 为用户组授权:根据该用户组对资源拥有的权限,为用户组添加权限策略,对应到用户组内的每一个用户。
角色管理与授权 企业A购买了多种金山云资源来开展业务,例如:KEC实例、RDS实例、SLB实例和KS3存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求:
1. 企业A希望能专注于业务系统,仅作为资源owner。
2. 企业A希望当企业B的员工加入或离职时,可以将企业A的资源访问权限分配给企业B的子用户(员工或应用)。
3. 企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。
访问控制的角色管理支持授权其他金山云主账号通过角色扮演方式访问控制台。
1. 企业A在其主账号下创建一个角色,并为角色授予合适的权限,允许金山云主账号B使用该角色。
2. 企业B在其主账号下创建一个子用户,并且给子用户添加扮演/切换角色的权限 。
3. 企业B的员工可以使用子用户登录控制台,切换角色操作企业A授权的资源。
4. 如果双方合同终止,企业A只需要撤销企业B的主账号对角色使用权限。撤销后,企业B的下的所有子用户对角色使用的权限将自动撤销。
权限策略 企业A内部有多个团队,团队内有多个成员,每个成员所管理的资源以及对资源的操作权限不同。 企业A有如下要求:
1. 对不同的团队成员授予不同的管理权限
2. 对于常见的权限策略,金山云可以提供,企业直接使用。
3. 支持企业内部特殊的权限策略自定义。
访问控制支持以下两种权限策略:
1. 系统策略:统一由金山云创建,用户只能使用不能修改,策略的版本更新由金山云维护。
2. 自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护
单点登录SSO 企业A已有自己内部的账号体系,希望企业内成员以这套账号体系管理使用金山云资源,不必在金山云主账号下为每一位组织成员创建子用户身份。 企业A有如下要求:
1. 无需为企业内每个成员创建金山云账号
2. 您希望根据用户在本地IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当进行权限调整时,只需要在本地进行分组或属性的更改。
3. 您希望从金山云的登录页面开始发起登录,而非直接访问您IdP的登录页面。
使用金山云的SSO服务管理企业账号登录。目前金山云提供以下两种 SSO 方式:
1. 角色SSO:通过角色SSO,企业可以在本地IdP中管理员工信息,无需进行金山云和企业IdP间的用户同步,企业员工将使用指定的角色来登录金山云。
2. 用户SSO:通过用户SSO,企业员工登录后将以子用户访问金山云
子用户安全设置 企业内部多个用户同时管理云上资源时,企业希望通过一些操作或验证来加强用户的账号安全,避免由于盗号带来的企业损失。 企业A有如下要求:
1. 对用户的登录密码强度要求可做限制要求。
2. 增加对用户的登录二次验证操作,提高其安全性。
访问管理提供安全设置与多因素认证功能。
1.安全设置:企业可对用户的密码强度进行设置,包含密码长度、密码有效期、密码必须包含策略、可尝试的错误密码次数等设置。
2. 多因素认证:在用户名和登录密码之外再增加一层安全保护。目前访问控制提供三种验证方式:虚拟MFA设备(金山云小程序)、手机号验证、邮箱验证,当用户登录控制台或进行敏感操作时的二次身份验证,以此保护您的账号更安全。
项目管理与授权 企业A有多个项目同时上云,每个项目都会用到多种云资源。企业只有1个金山云主账号,主账号下有上百个实例。 企业A希望项目独立管理,每个管理员各自能够独立管理项目人员及其访问权限。 使用访问控制和项目管理的功能实现以上诉求:
1. 按照应用创建多个项目,将资源加入到对应项目中。
2. 创建子用户,并将子用户加入到对应的项目成员中。
3. 为子用户授予工作所需的权限策略,授权后对应子用户只能管理已加入的项目的资源。

访问方式

完成主账号的注册登录后,您可以通过以下方式使用IAM管理子用户身份与资源访问权限:

  1. 访问控制控制台:您可直接登录访问控制控制台完成相关操作。
  2. OpenAPI:您可以使用访问控制提供的OpenAPI接口以编程方式访问。
文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈