访问控制(Identity and Access Management,缩写为IAM)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。
例如在企业里,企业使用主账号购置云资源,并将云资源的访问权限按需分配给不同IAM身份。企业可以允许员工使用IAM身份登录控制台访问云资源,或者将IAM用户或角色扮演产生的凭证用于企业的工作负载,以编程访问的方式请求云服务。
主账号拥有账户下云资源的完全访问权限,在云上复杂的访问场景里,共享主账号凭证不但在使用上不便利,也会存在安全隐患。而通过访问控制,您可以创建用户、角色等身份应用在不同场景里,而无需将主账号完全托付出去。
通过访问控制创建的身份,默认不具备云资源的访问权限。访问控制为每个云产品提供了预定义的权限点,您可以根据实际需要,为身份分配权限。您也可以在策略管理中自定义权限,满足精细化权限控制的需要。
访问控制提供了登录访问、API访问和单点登录SSO(Single Sign On)三种访问方式。
登录访问:访问控制支持您为IAM用户设置登录密码,用户可通过密码登录火山引擎控制台访问云资源;
API访问:访问控制支持您为IAM用户生成访问密钥(Access Key),用户可使用密钥调用产品的OpenAPI来访问云资源。
SSO访问:访问控制支持您配置和管理企业身份提供商IdP(Identity Provider),实现用户SSO或角色SSO。
火山引擎访问控制在提供了用户登录密码有效期、密码尝试次数限制等安全配置的基础上,还提供了多因子认证能力(Multi-factor authentication,MFA)。您可以要求IAM用户在登录时除了进行密码验证外,额外进行基于虚拟MFA设备的的动态口令(One-Time Password,OTP)认证。未来火山引擎还会提供更多安全配置能力,帮助您进一步提升账号的安全性。
除了提供长期密钥(Access Key)外,访问控制提供了临时安全令牌服务(Security Token Service,STS)。通过STS您可以生成临时的、具有有限权限的安全凭证来访问云资源。例如,某企业基于火山引擎云服务开发了一款App,企业可以通过STS服务将临时安全凭证下发到移动App中来访问云资源,避免了长期密钥存储在用户的移动端设备中造成安全隐患。
访问控制支持操作行为审计。账号及账号下的身份在访问控制中进行的操作都将记录在云审计(CloudTrail)日志中,日志支持多维度查询,方便您对账号行为进行审查。
火山引擎访问控制未来将提供更多访问管理功能,帮助个人及企业用户安全高效地管理云资源访问权限。