如何通过IAM打造零信任安全架构

万物互联时代来临，面对越来越严峻的企业网络安全及复杂的（如微服务，容器编排和云计算）开发、生产环境，企业 IT 急需一套全新的身份和访问控制管理方案。

为了满足企业需求，更好的服务企业用户，青云QingCloud 推出了 IAM 服务，使用者可以统一管理和控制接入实体的认证和授权，更安全地自主管控账户下的任意资源访问权限。

IAM 是什么？

IAM 旨在统一构建云平台的权限管理标准，采用非对称加密技术创建具备一定访问时效的临时 Token 为访问者赋予身份凭证，无需引入 Access Key ，身份的使用者可以是人、 设备、应用等任何支持获取凭证 Token 的实体。

当使用者需要为他人或者应用赋予自己资源的访问权限时，可以按需配置任意粒度的权限和身份载体，不必再共享访问密钥，从而做到对接入实体的全方位统一管控，极大降低访问密钥被泄露的风险，提高平台客户信息的安全性。

IAM 功能及特性

1、访问控制统一管理

QingCloud IAM 服务可将云平台各模块的操作 API 进行统一纳管，并定义各类服务及资源之间的关系。

由使用者自行编辑策略以组合成不同操作权限的集合后赋予其他身份，最终实现对该使用者名下的服务或资源接入控制统一管理。

2、保障访问安全

访问凭证采用 RSA 非对称加密算法，有效保证密钥安全。

支持使用者自行设置和调整凭证 token 失效时间以保证凭证安全，使得身份凭证可在一定时间后自动失效。

3、模拟策略

评估支持针对任意复合策略指定 API 和资源范围时模拟策略评估结果，以有效规避和防止复杂的策略权限组合偏离管理期望。

4、可视化管理

支持在创建策略时无缝切换可视化与编程模式，对比并生成精准策略权限概要，极大提升中高级企业客户的权限定制体验。

同时，使用者可自定义策略版本，并支持策略版本可视化对比管理，可一目了然看到各策略版本之间微小变化，从而专注于提升更流畅更便捷的操作体验。

5、精细的控制粒度

基于云服务 API 颗粒度创建访问策略，支持允许和拒绝效力，支持多种服务及多重效力任意叠加，支持随时切换为开发者模式为服务及 API 设置通配符。

6、细致的权限策略设计

业内首创将各类纳管服务的 API 操作按只读、维护和敏感分类而非单纯的可读可写，旨在辅助管理权限的分配与设计，让授权目标时更清晰、更谨慎、更安全。

7、丰富的信任载体

使用者可以为主机、账户、子账户，授予访问权限。

IAM 最佳实践

精细权限管理，多人跨账号管理协作

在创业之初，企业对云资源的安全管理要求不高，可以接受使用一个访问密钥（Access Key）来操作所有资源。但随着时间推移，企业逐渐成长为大型公司时，组织架构变得更加复杂，可能同时有好几个项目团队共用云资源。

这时就需要授权多人辅助管理资源、处理账单等运维操作，过去只能将账号密码直接提供给对方使用，或将相关资源通过组合成项目的方式共享给他人操作，无法保证云资源的安全管理。

通过配置 IAM，使用者可直接将账号中的部分操作权限赋予到不同的身份上，再分配给其他人来使用，而无需考虑资源组合或权限分配不合理的问题。



例如，使用者可通过 IAM 允许子账户 A 通过代入其赋予的身份，完全访问自己账户中的弹性云主机服务(支持创建、启停或销毁主机等)。同时允许 QingCloud 平台中的另一个账户 B 通过代入其赋予的身份，仅具备查看某个特定主机信息的权限。

管理应用共享访问云端资源/免密钥应用开发

使用者在 QingCloud 公有云上开发应用，当需要在该应用中调用云资源 API/CLI 以完成某些功能时，过去需要利用自己账户的 API 密钥作为该应用配置项，供有需要时连接使用，但会存在配置项意外泄露问题。

IAM 使其可向其云端资源授予访问权限，以管理和使用账户中的资源，而不必共享账户密码或 API Access Key。

例如，使用者可通过为自己的 QingCloud 云主机配置 IAM 身份轻松实现免密钥访问，允许其云主机中创建的应用通过集成 QingCloud 官方 SDK 获取身份凭证信息，即可在应用中调用 QingCloud API/CLI 以访问云端资源。