如何通过IAM打造零信任安全架构
万物互联时代来临,面对越来越严峻的企业网络安全及复杂的(如微服务,容器编排和云计算)开发、生产环境,企业 IT 急需一套全新的身份和访问控制管理方案。
为了满足企业需求,更好的服务企业用户,青云QingCloud 推出了 IAM 服务,使用者可以统一管理和控制接入实体的认证和授权,更安全地自主管控账户下的任意资源访问权限。
IAM 是什么?
IAM 旨在统一构建云平台的权限管理标准,采用非对称加密技术创建具备一定访问时效的临时 Token 为访问者赋予身份凭证,无需引入 Access Key ,身份的使用者可以是人、 设备、应用等任何支持获取凭证 Token 的实体。
当使用者需要为他人或者应用赋予自己资源的访问权限时,可以按需配置任意粒度的权限和身份载体,不必再共享访问密钥,从而做到对接入实体的全方位统一管控,极大降低访问密钥被泄露的风险,提高平台客户信息的安全性。
IAM 功能及特性
1、访问控制统一管理
QingCloud IAM 服务可将云平台各模块的操作 API 进行统一纳管,并定义各类服务及资源之间的关系。
由使用者自行编辑策略以组合成不同操作权限的集合后赋予其他身份,最终实现对该使用者名下的服务或资源接入控制统一管理。
2、保障访问安全
访问凭证采用 RSA 非对称加密算法,有效保证密钥安全。
支持使用者自行设置和调整凭证 token 失效时间以保证凭证安全,使得身份凭证可在一定时间后自动失效。
3、模拟策略
评估支持针对任意复合策略指定 API 和资源范围时模拟策略评估结果,以有效规避和防止复杂的策略权限组合偏离管理期望。
4、可视化管理
支持在创建策略时无缝切换可视化与编程模式,对比并生成精准策略权限概要,极大提升中高级企业客户的权限定制体验。
同时,使用者可自定义策略版本,并支持策略版本可视化对比管理,可一目了然看到各策略版本之间微小变化,从而专注于提升更流畅更便捷的操作体验。
5、精细的控制粒度
基于云服务 API 颗粒度创建访问策略,支持允许和拒绝效力,支持多种服务及多重效力任意叠加,支持随时切换为开发者模式为服务及 API 设置通配符。
6、细致的权限策略设计
业内首创将各类纳管服务的 API 操作按只读、维护和敏感分类而非单纯的可读可写,旨在辅助管理权限的分配与设计,让授权目标时更清晰、更谨慎、更安全。
7、丰富的信任载体
使用者可以为主机、账户、子账户,授予访问权限。
IAM 最佳实践
精细权限管理,多人跨账号管理协作
在创业之初,企业对云资源的安全管理要求不高,可以接受使用一个访问密钥(Access Key)来操作所有资源。但随着时间推移,企业逐渐成长为大型公司时,组织架构变得更加复杂,可能同时有好几个项目团队共用云资源。
这时就需要授权多人辅助管理资源、处理账单等运维操作,过去只能将账号密码直接提供给对方使用,或将相关资源通过组合成项目的方式共享给他人操作,无法保证云资源的安全管理。
通过配置 IAM,使用者可直接将账号中的部分操作权限赋予到不同的身份上,再分配给其他人来使用,而无需考虑资源组合或权限分配不合理的问题。
例如,使用者可通过 IAM 允许子账户 A 通过代入其赋予的身份,完全访问自己账户中的弹性云主机服务(支持创建、启停或销毁主机等)。同时允许 QingCloud 平台中的另一个账户 B 通过代入其赋予的身份,仅具备查看某个特定主机信息的权限。
管理应用共享访问云端资源/免密钥应用开发
使用者在 QingCloud 公有云上开发应用,当需要在该应用中调用云资源 API/CLI 以完成某些功能时,过去需要利用自己账户的 API 密钥作为该应用配置项,供有需要时连接使用,但会存在配置项意外泄露问题。
IAM 使其可向其云端资源授予访问权限,以管理和使用账户中的资源,而不必共享账户密码或 API Access Key。
例如,使用者可通过为自己的 QingCloud 云主机配置 IAM 身份轻松实现免密钥访问,允许其云主机中创建的应用通过集成 QingCloud 官方 SDK 获取身份凭证信息,即可在应用中调用 QingCloud API/CLI 以访问云端资源。
如何通过IAM打造零信任安全架构的更多相关文章
- Kubernetes 下零信任安全架构分析
点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 杨宁(麟童) 阿 ...
- 从零入门 Serverless | 架构的演进
作者 | 许晓斌 阿里云高级技术专家 本文整理自<Serverless 技术公开课>,关注"Serverless"公众号,回复 入门 ,即可获取 Serverless ...
- Django ElasticSearch Ionic 打造 GIS 移动应用 —— 架构设计
搜索引擎是个好东西,GIS也是个好东西.当前还有Django和Ionic.最后效果图 构架设计 对我们的需求进行简要的思考后,设计出了下面的一些简单的架构. GIS架构说明 -- 服务端 简单说明: ...
- 添物零基础到架构师(基础篇) - JavaScript
JavaScript是什么? JavaScript是web开发必须学习的,ECMAScript是其规则来源. JavaScript的历史 Developed by Brendan Eich of Ne ...
- 零基础到架构师 不花钱学JavaEE(基础篇)- 概述
Java简单来说是一门语言,Java能干什么? 网站:开发大,中,小型网站. 服务器端程序:企业级程序开发. APP:Android的APP基本使用Java开发. 云:Hadoop就是使用Java语言 ...
- NodeMCU入坑指南-低成本打造零舍友闻风丧胆WiFi断网神器
前言 最近对IoT方面比较感兴趣,所以在某宝上入手了一块NodeMCU的开发板,至于为什么我选择这块开发板呢?嘿嘿,当然是因为便宜啊
- 零信任三大技术之SDP
SDP概述 SDP Software Defined Perimeter(软件定义边界),2013 年由云安全联盟 CSA提出. SDP 设计基本原则 1.信息隐身:隐藏服务器地址.端口,使之不被扫描 ...
- 从云AK泄露利用看企业特权管理
从云AK泄露利用看企业特权管理 目录 - 缘起 - 当前主流AK泄露检测方式 - 防止AK滥用的关键要素? - 哪些算特权账号管理? - 如何做特权账号管理? - 特权管理与堡垒机.IAM.零信任的关 ...
- 乘风破浪,遇见华为鸿蒙智能终端系统(HarmonyOS 2),打造面向全场景的分布式操作系统
什么是鸿蒙智能终端系统(HarmonyOS 2) HarmonyOS 是新一代的智能终端操作系统,为不同设备的智能化.互联与协同提供了统一的语言.带来简洁,流畅,连续,安全可靠的全场景交互体验. ht ...
随机推荐
- 感觉shopex现在的升级方式太慢了
我是说产品的更新,484,485是一个经典的版本,那时候免费,shopex 系统市场占用率很高.但是485以后呢,只有小版本的更新,fxw ,ekd 都是改进版本吧,没用特别大幅度的更新.5年前,10 ...
- SourceTree 3.1.3 版本跳过bitbucket注册方法(亲测好用)
1.首先下载并安装好git程序. 2.接着下载并执行SourceTreeSetup-3.1.3.exe,会进入登录或注册bitbucket的界面,我只是想用软件,并不想去注册账号.怎么办?请往下看. ...
- Nodejs模块介绍
1.模块系统 require:引入模块,返回一个对象 module:指代当前的模块对象 module.exports:当前模块的导出对象 exports:指代module.exports __file ...
- 06.drf(django)的权限
默认配置已经启用权限控制 settings 'django.contrib.auth', 默认 migrate 会给每个模型赋予4个权限,如果 ORM 类不托管给django管理,而是直接在数据库中建 ...
- Java术语
- dede搜索页做法
触发搜索页代码 <p class="fl"> <span>热门搜索:</span> {dede:hotwords num=8 subday=36 ...
- day20 函数闭包与装饰器
装饰器:本质就是函数,功能是为其他函数添加新功能 原则: 1.不修改被装饰函数的源代码(开放封闭原则) 2.为被装饰函数添加新功能后,不修改被修饰函数的调用方式 装饰器的知识储备: 装饰器=高阶函数+ ...
- idea打印中文乱码
一.问题情况: IntelliJ IDEA 控制台输出中文乱码部分如图所示: 二.解决方法: 1.打开tomcat配置页面,Edit Configurations. 2.选择项目部署的tomcat,在 ...
- MIT6.828准备:MacOS下搭建xv6和risc-v环境
本文介绍在MacOS下搭建Mit6.828/6.S081 fall2019实验环境的详细过程,包括riscv工具链.qemu和xv6,对于Linux系统同样可以参考. 介绍 只有了解底层原理才能写好上 ...
- 什么,容器太多操作不过来?我选择Docker Compose梭哈
接上一篇:面试官:你说你精通 Docker,那你来详细说说 Dockerfile 吧 一.容器之间通信 1.单向通信 1.1.什么意思 mysql和tomcat是两个独立的容器,但是tomcat需要和 ...