IAM为您提供的主要功能包括:精细的权限管理、安全访问、敏感操作、通过用户组批量管理用户权限、区域内资源隔离、联合身份认证、委托其他账号或者 云服务 管理资源、设置账号安全策略。
精细的权限管理
使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。例如:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。
图1权限管理模型
安全访问
您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。
敏感操作
IAM提供敏感操作保护功能,包括登录保护和操作保护,在您登录控制台或者进行敏感操作时,系统将要求您进行邮箱/手机/虚拟MFA的验证码的第二次认证,为您的账号和资源提供更高的安全保护。
通过用户组批量管理用户权限
您不需要为每个用户进行单独的授权,只需规划用户组,并将对应权限授予用户组,然后将用户添加至用户组中,用户就继承了用户组的权限。如果用户权限变更,只需在用户组中删除用户或将用户添加进其他用户组,实现快捷的用户授权。
区域内资源隔离
您可以通过在区域中创建子项目的功能,使得同区域下的各项目之间的资源相互隔离。
联合身份认证
如果您已经有自己的身份认证系统,您不需要在华为云中重新创建用户,可以通过身份提供商功能直接访问华为云,实现单点登录。
委托其他账号或者云服务管理资源
通过委托信任功能,您可以将自己的操作权限委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限代替您进行日常工作。
设置账号安全策略
通过设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统数据的安全性。
最终一致性
最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。