如何经过IAM打造零信任安全架构

万物互联时代来临，面对愈来愈严峻的企业网络安全及复杂的（如微服务，容器编排和云计算）开发、生产环境，企业 IT 急需一套全新的身份和访问控制管理方案。

为了知足企业需求，更好的服务企业用户，青云QingCloud 推出了 IAM 服务，使用者能够统一管理和控制接入实体的认证和受权，更安全地自主管控帐户下的任意资源访问权限。

IAM 是什么？

IAM 旨在统一构建云平台的权限管理标准，采用非对称加密技术建立具有必定访问时效的临时 Token 为访问者赋予身份凭证，无需引入 Access Key ，身份的使用者能够是人、 设备、应用等任何支持获取凭证 Token 的实体。

当使用者须要为他人或者应用赋予本身资源的访问权限时，能够按需配置任意粒度的权限和身份载体，没必要再共享访问密钥，从而作到对接入实体的全方位统一管控，极大下降访问密钥被泄露的风险，提升平台客户信息的安全性。

IAM 功能及特性

一、访问控制统一管理

QingCloud IAM 服务可将云平台各模块的操做 API 进行统一纳管，并定义各种服务及资源之间的关系。

由使用者自行编辑策略以组合成不一样操做权限的集合后赋予其余身份，最终实现对该使用者名下的服务或资源接入控制统一管理。

二、保障访问安全

访问凭证采用 RSA 非对称加密算法，有效保证密钥安全。

支持使用者自行设置和调整凭证 token 失效时间以保证凭证安全，使得身份凭证可在必定时间后自动失效。

三、模拟策略

评估支持针对任意复合策略指定 API 和资源范围时模拟策略评估结果，以有效规避和防止复杂的策略权限组合偏离管理指望。

四、可视化管理

支持在建立策略时无缝切换可视化与编程模式，对比并生成精准策略权限概要，极大提高中高级企业客户的权限定制体验。

同时，使用者可自定义策略版本，并支持策略版本可视化对比管理，可一目了然看到各策略版本之间微小变化，从而专一于提高更流畅更便捷的操做体验。

五、精细的控制粒度

基于云服务 API 颗粒度建立访问策略，支持容许和拒绝效力，支持多种服务及多重效力任意叠加，支持随时切换为开发者模式为服务及 API 设置通配符。

六、细致的权限策略设计

业内独创将各种纳管服务的 API 操做按只读、维护和敏感分类而非单纯的可读可写，旨在辅助管理权限的分配与设计，让受权目标时更清晰、更谨慎、更安全。

七、丰富的信任载体

使用者能够为主机、帐户、子帐户，授予访问权限。

IAM 最佳实践

精细权限管理，多人跨帐号管理协做

在创业之初，企业对云资源的安全管理要求不高，能够接受使用一个访问密钥（Access Key）来操做全部资源。但随着时间推移，企业逐渐成长为大型公司时，组织架构变得更加复杂，可能同时有好几个项目团队共用云资源。

这时就须要受权多人辅助管理资源、处理帐单等运维操做，过去只能将帐号密码直接提供给对方使用，或将相关资源经过组合成项目的方式共享给他人操做，没法保证云资源的安全管理。

经过配置 IAM，使用者可直接将帐号中的部分操做权限赋予到不一样的身份上，再分配给其余人来使用，而无需考虑资源组合或权限分配不合理的问题。

例如，使用者可经过 IAM 容许子帐户 A 经过代入其赋予的身份，彻底访问本身帐户中的弹性云主机服务(支持建立、启停或销毁主机等)。同时容许 QingCloud 平台中的另外一个帐户 B 经过代入其赋予的身份，仅具有查看某个特定主机信息的权限。

管理应用共享访问云端资源/免密钥应用开发

使用者在 QingCloud 公有云上开发应用，当须要在该应用中调用云资源 API/CLI 以完成某些功能时，过去须要利用本身帐户的 API 密钥做为该应用配置项，供有须要时链接使用，但会存在配置项意外泄露问题。

IAM 使其可向其云端资源授予访问权限，以管理和使用帐户中的资源，而没必要共享帐户密码或 API Access Key。

例如，使用者可经过为本身的 QingCloud 云主机配置 IAM 身份轻松实现免密钥访问，容许其云主机中建立的应用经过集成 QingCloud 官方 SDK 获取身份凭证信息，便可在应用中调用 QingCloud API/CLI 以访问云端资源。