什麼是CIAM?
CIAM 簡介
說明
身份和訪問控制管理系統,實現使用者的身份認證和資源訪問控制。
透過CIAM,解決了公有云環境中如下兩個安全問題:
- 每次的API呼叫者是否為可信實體
- 呼叫API的可信實體是否被授權訪問資源
認證授權模型
所有云資源的身份認證和許可權控制都是都是基於AccessKey/SecretKey的簽名認證模型。例如,當用戶想以個人身份向COS傳送請求時,該模型開始運轉:
- 首先將傳送的請求按照COS指定的格式生成待簽名字串;
- 使用SecretKey對待簽名字串進行簽名;
- COS收到請求後,將簽名信息傳送至CIAM服務,請求身份驗證和許可權鑑別;
- CIAM透過AccessKey找到對應SecretKey,以同樣方法提取簽名字串和驗證碼;
- 如果4計算出來的驗證碼和請求的一樣即認為該請求合法,驗證透過;
- 否則,CIAM返回驗證失敗錯誤,COS將給使用者返回HTTP 403錯誤。
CIAM產品功能
CIAM包括下列功能:
- 管理CIAM使用者及其金鑰 —— 可以在根賬戶下建立並管理子使用者及其訪問金鑰
- 管理CIAM使用者的訪問許可權 —— 可以透過為子使用者繫結授權策略,來限制使用者對指定資源的操作許可權
- 分組分權管理CIAM使用者 —— 可以透過建立使用者組,為使用者組分配授權策略,將使用者加入使用者組,來實現便捷的集中賦權和取消授權
- 集中控制雲資源 —— 可以對使用者建立的例項或資料進行集中控制。當用戶離開您的組織時,這些例項或資料仍然受您的完全控制。
- 統一賬單 —— 根賬戶將收到包括所有CIAM子使用者的資源操作所產生的費用的單一賬單
使用流程
如何使用CIAM的上述功能,大致分為以下幾個步驟:
建立子使用者->給子使用者授權->子使用者使用授權服務