云采用框架-全方位数据边界:身份控制策略

时间：2025-01-21 11:51:12

云采用框架精益化治理

身份控制策略

身份控制策略是数据边界的第一道防线。它确保只有经过严格验证的可信身份才能够访问企业的云资源。身份控制策略主要通过SCP（Service Control Policy，服务控制策略）和 IAM 策略来实现。

SCP是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时，该组织或OU下所有账号均受该策略影响。关于SCP的详细介绍，请查看这个链接。需要注意的是，SCP的影响范围比较大，在生产环境实施SCP之前，强烈建议您先在测试环境下开展充分的测试验证，避免对生产环境中云资源的使用产生不必要的影响。

IAM策略用于精细化地控制用户、用户组和委托对华为云资源的访问权限。通过IAM策略，企业可以基于最小权限原则，为用户分配恰到好处的权限，确保他们只能访问与其工作相关的资源和操作。这不仅提高了安全性，还减少了权限滥用的风险。关于IAM策略的详细介绍，请查看这个链接。

在华为云中，身份控制策略主要通过SCP和IAM策略来实现。如果同时设置了SCP和IAM策略，对用户来讲实际有效的权限范围是两者的交集。

上一篇：云采用框架-全方位数据边界:资源控制策略

下一篇：云采用框架-全方位数据边界:资源控制策略