最近更新时间:2022.08.01 20:56:48
首次发布时间:2021.02.23 10:42:32
访问控制(Identity and Access Management,缩写为IAM)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。当您在火山引擎官网完成账号注册时,您就拥有了一个主账号,您可以使用主账号创建额外的身份(例如“用户”),并对身份赋予权限,实现多人协作或多场景安全访问的目的。
例如在企业里,企业使用主账号购置云资源,并将云资源的访问权限按需分配给不同IAM用户。企业员工可使用IAM用户登录控制台或请求API来访问云资源。从而让企业员工以最小化、最合理的权限实现团队协作,有效保障云资源的安全性。
主账号拥有账户下云资源的完全访问权限,在多人员的访问场景里,共享主账号不但在使用上不便利,也会存在安全隐患。而通过访问控制,您可以创建用户、角色、用户组等身份应用在不同场景里,而无需将主账号完全托付出去。
另外,某些云产品可能会依赖您的其他云产品资源来提供服务,此时,云产品也将成为IAM身份,您可以对产品的服务身份进行权限管理,以有效地保护资源被合理、安全地访问。
通过访问控制创建的身份,默认不具备云资源的访问权限。访问控制为每个云产品提供了预定义的权限点,您可以根据实际需要,为身份分配权限。您也可以在策略管理中自定义权限,满足精细化权限控制的需要。
访问控制提供了登录访问、API访问和单点登录SSO(Single Sign On)三种访问方式。
登录访问:访问控制支持您为IAM用户设置登录密码,用户可通过密码登录火山引擎控制台访问云资源;
API访问:访问控制支持您为IAM用户生成访问密钥(Access Key),用户可使用密钥调用产品的OpenAPI来访问云资源。
SSO访问:访问控制支持您配置和管理企业身份提供商IdP(Identity Provider),实现用户SSO或角色SSO。
火山引擎访问控制在提供了用户登录密码有效期、密码尝试次数限制等安全配置的基础上,还提供了多因子认证能力(Multi-factor authentication,MFA)。您可以要求IAM用户在登录时除了进行密码验证外,额外进行基于虚拟MFA设备的的动态口令(One-Time Password,OTP)认证。未来火山引擎还会提供更多安全配置能力,帮助您进一步提升账号的安全性。
除了提供长期密钥(Access Key)外,访问控制提供了临时安全令牌服务(Security Token Service,STS)。通过STS您可以生成临时的、具有有限权限的安全凭证来访问云资源。例如,某企业基于火山引擎云服务开发了一款App,企业可以通过STS服务将临时安全凭证下发到移动App中来访问云资源,避免了长期密钥存储在用户的移动端设备中造成安全隐患。
访问控制支持操作行为审计。账号及账号下的身份在访问控制中进行的操作都将记录在云审计(CloudTrail)日志中,日志支持多维度查询,方便您对账号行为进行审查。
火山引擎访问控制未来将提供更多访问管理功能,帮助个人及企业用户安全高效地管理云资源访问权限。