统一身份认证服务(IAM)

统一身份认证服务

• 统一身份认证服务(IAM-Identity and Access Management)提供适合企业级组织结构的用户账号管理服务，为企业用户分配不同的资源及操作权限。用户通过使用访问密钥获得基于IAM的认证和鉴权后，以调用API的方式访问华为云资源；
• IAM以按层次和细粒度授权，保证同一企业租户的不同用户在使用云资源上得到有效管控，避免单个用户误操作等原因导致整个云服务的不可用，确保租户业务的持续性；
• 统一身份认证服务具有密码认证、多因子认证、访问密钥、联邦认证、权限管理。

密码认证

• 密码是租户最初创建账户(注册或创建企业用户)时指定的。用户在登录华为云控制台时，需要使用密码。同时，该密码也可以用于API方式访问华为云资源。
  • 密码策略：IAM支持租户的安全管理员根据需求，设置不同强度的密码策略和更改周期，防止用户使用简单或长期使用固定密码，导致账号泄露；
  • 登录策略：IAM支持租户的安全管理员设置登录策略，避免用户密码被暴力破解或者因为访问钓鱼页面等，导致账号信息泄露；
  • ACL：IAM通过提供基于IP的ACL可以限制企业用户只在安全的网络环境下访问华为云资源，避免企业用户因接入不安全网络环境导致的数据泄露；

多因子认证

• 多因子认证(MFA - Multi-Factor Authentication)是用户登录控制台时，除密码认证外，增加的另一层安全认证保护，以增强账户安全性。用户可以选择是否启用。如启用，用户在密码认证通过后，还将收到一次性短信认证码进行二次认证。用户修改密码、手机等敏感信息时，IAM默认启用多因子认证，保证用户账号安全。

权限管理

• 权限管理：IAM权限包括用户管理权限和云资源权限。用户管理权限可以管理用户、用户组及用户组的权限，实现用户及用户组的创建、删除、修改和为用户授予相应的权限。云资源权限包括对云资源的创建、删除、修改、设置等操作的权限。为用户组添加云资源权限，再将用户加入用户组，可以使用户继承用户组的权限。通过用户组来管理用户权限可以使权限重审更有条理，避免权限管理的混乱。另外，IAM结合PAM功能还可以更有效地细化管理特权账户；
• PAM：Privilege Account Management是一种访问控制服务，管理HIC资源所承载的特权账号，可帮助您安全的控制用户对HIC资源的访问权限。通过PAM可以控制哪些人可以使用您的特权账号访问目标资源，并可以随时重置账号口令，以保证权限不被泄露。