功能介绍

本文提供身份与访问管理 IAM的功能详情

部门管理

云管理员对部门进行创建、激活、删除等操作,部门管理员可在部门中规划项目和用户相关信息。

项目管理

项目是云平台计算、存储等基础资源的最小隔离单元,项目隶属于部门,通常可以根据不同业务进行划分,您可以为项目设置配额来限制资源使用上限。

用户管理

提供本地用户和LDAP用户的统一的集中化管理。创建用户时,需要为用户进行授权、分配项目,使用户对于系统具有意义,管理员也可以将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。当一个用户拥有权限后,就可以基于权限对云服务进行相关操作。 一个用户具备以下特点:

  • 用户必须在获得授权并分配项目后,才能登录控制台。
  • 用户可以在多个用户组中,用户与用户组必须在同一个部门下。

用户组管理

用户组是多个相同职能的用户集合。管理员根据业务需求创建不同的用户组,并对用户组分类并授权,然后将用户加入用户组,使得用户组中的用户获得相应的权限。从而更好地管理用户及其权限。

应用场景

  • 在用户职责发生变化时,只需将其移出当前用户组,并移动到相应职责的用户组下即可,不会对其他用户产生影响。
  • 当用户组的权限发生变化时,只需修改用户组的权限策略,即可应用到组内的所有用户。

权限策略管理

权限指在某种条件下允许或拒绝对某些资源执行某些操作,角色是一组访问策略的集合。

角色

一个角色是由多条策略组成,管理员可以将某个角色根据部门或职能指定给某个用户,使用户有权限去操作资源。 其中角色分为以下两种类型角色:

  • 云开放平台管理的系统角色:统一由系统创建,用户只能使用不能修改。
  • 客户管理的自定义角色:用户可以自主创建、更新和删除。

策略

策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单JSON语言规范。 其中策略分为以下两种类型策略:

  • 云开放平台管理的系统策略:统一由系统创建,用户只能使用不能修改。
  • 客户管理的自定义策略:用户可以自主创建、更新和删除。

安全配置管理

支持虚拟MFA配置、密码策略等功能。身份与访问管理服务支持用户对平台账户安全进行设置。

虚拟MFA配置

配置虚拟MFA功能的安全设置。

  • 强制用户使用虚拟MFA:加强账号登录时的身份认证,开启强制使用虚拟MFA策略,登录账号除了验证用户名密码,还需要验证动态码。
  • 密钥增强:进一步提高虚拟MFA使用的种子密钥强度,防止暴力破解,通过与证书与密钥服务云产品集成,由证书与密钥服务云产品生成更高强度、足够随机数的种子密钥,增强密钥安全性。
  • 动态码算法:提供多种动态码生成算法选择,通过与证书与密钥服务云产品集成,可扩展使用更加安全的算法,如SHA_256、SHA_512、SM3。

密码策略

调整全平台用户登录密码强度。

账号锁定策略

设置全平台用户在云管理员配置的次数内连续登录失败后锁定账户,防止用户恶意登录。

禁止共享账号登录

设置是否允许同一账户在多个设备或浏览器上同时登录。

VNC共享模式

设置是否允许账户在多个设备或浏览器上同时登录同一个云主机VNC控制台。

访问密钥管理

访问密钥是第三方用户/应用访问您云平台的API密钥,访问密钥拥有所分配者的全部权限。