产品展示

华为云产品中心

基于丰富的华为云基础服务,提供适用于各行业的、预集成的产品与能力的组合,以满足企业ICT业务上云的需求

服务咨询
统一身份认证服务 IAM

云管理与监管

  • 资源: 北京、上海、广州、贵阳、香港、曼谷、新加坡、利马、墨西哥城 …
  • 名称 统一身份认证服务 IAM
  • 配置
  • 渠道 华为云授权销售支持中心 · 呼和浩特市大旗网络有限公司
  • 数量 (库存:0)
  • 统一身份认证服务 IAM

什么是IAM

统一身份认证(Identity and Access Management,简称IAM)是华为云提供管理的基础服务,可以帮助您安全地控制云服务和资源的访。

IAM无需付费即可使用,您只需要为您帐号中的资源进行付费。

IAM的优势

对华为云的资源进行精细访问控制

您注册华为云后,系统自动创建帐号,帐号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制,可以访问华为云所有的云服务。

如果您在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您的团队或应用程序需要使用您在华为云中的资源,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户,并授予IAM用户刚好能完成工作所需的,新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一帐号时,避免分享帐号的密码。

除了IAM外,还有企业管理服务同样可以进行资源管理,相对于IAM,企业管理对资源的控制粒度更为精细,同时还支持企业项目费用的管理,建议结合企业需求选择IAM或是企业管理进行资源管理

跨帐号的资源操作与授权

如果您在华为云购买了多种资源,其中一种资源希望由其它帐号管理,您可以使用IAM提供的委托功能。

例如您希望将资源委托给一家专业的代运维公司来运维,通过IAM的委托功能,代运维公司可以使用自己的帐号对您委托的资源进行运维。当委托关系发生变化时,您可以随时修改或撤消对代运维公司的授权。下图中帐号A即为委托方,帐号B为被委托方。

使用企业已有帐号登录华为云

当您希望本企业员工可以使用企业内部的认证系统登录华为云,而不需要在华为云中重新创建对应的IAM用户,您可以使用IAM的身份提供商功能,建立您所在企业与华为云的信任关系,通过联合认证使员工使用企业已有帐号直接登录华为云,实现单点登录。华为云计算

华为云服务器

根据授权的精细程度,分为策略和角色。
  • 角色:角色是IAM最初提供的一种粗粒度的授权能力,当前有部分云服务不支持基于角色的授权。 角色并不能满足用户对精细化授权的要求,无法完全达到企业对最小化的安全管控要求。

  • 策略:策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。

    • 云服务在IAM预置了常用授权项,称为系统策略。管理员给用户组授权时,可以直接使用这些系统策略,系统策略只能使用,不能修改。如果管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的系统策略,原因是该服务暂时不支持IAM,管理员可以通过给对应云服务提交工单,申请该服务在IAM预置。

    • 如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。华为云存储

用户组

用户组是用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的。当某个用户加入多个用户组时,此用户同时拥多个用户组的,即多个用户组的全集。

“admin”为系统缺省提供的用户组,具有所有云服务资源的操作。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不于创建用户组及用户、修改用户组、管理资源等。

委托

委托根据委托对象的不同,分为委托其他帐号和委托其他云服务。

  • 委托其他帐号:通过委托信任功能,您可以将自己帐号中的资源操作委托给更专业、高效的其他帐号,被委托的帐号可以根据代替您进行资源运维工作。

  • 委托其他云服务:由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。华为云服务器


  • 网站应用
上一篇:没有了
立即注册   享受8折优惠
立即注册