权限
数据湖探索大企业
日志分析 大企业的部门比较多,不同部门在使用 云服务 时,需要对不同部门的员工的权限进行管理,包括计算资源的创建、删除、使用、隔离等。同时,也需要对不同部门的数据进行管理,包括数据的隔离、共享等 优势 细粒度权限控制 列级别权限控制;INSERTINTO/OVERWRITE单独权限控制;表元数据只读权限控制 统一的管理机制 使用统一的 IAM 管理用户(无需单独创建DLI用户),支持IAM细粒度授权
云堡垒机产品功能
身份认证 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险 账户管理 集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体系,解决共享帐号、临时帐号、滥用权限等问题 权限控制 集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全 操作审计 系统行为审计,资源运维审计。支持Linux命令审计、Windows操作审计、 数据库 命令审计、文件传输审计,支持对Linux命令审计、Windows操作审计全程录像记录 高效运维 Web运维,自动运维(专业版支持),第三方客户端运维。支持SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具 工单 申请 系统运维用户在运维过程中,遇到需运维资源而无权限情况,可提交系统工单申请资源控制权限,寻求管理人员授权审批
统一身份认证服务合作伙伴授权管理
合作伙伴授权管理 企业可以使用IAM的委托功能,将部分业务委托更专业的其他企业来完成,从而高效、高质量完成业务 帐号A创建委托并授权,被委托帐号B可以登录华为云后切换角色,按照权限以委托帐号A的角色使用资源、完成业务 优势 独立的访问凭证 帐号A和被委托帐号B独立安全凭证,避免共享帐号和密码 简单的委托控制????? 可以随时根据业务需要,通过简单操作,建立、修改或取消委托关系 安全的授权委托 创建委托并授权后,被委托帐号B只能按照权限使用资源,保障帐号、数据、资源安全 灵活的业务分配 被委托方帐号B可以按照业务需要,将委托资源使用权限分配给帐号中的IAM用户
统一身份认证服务用户访问权限管理
用户访问权限管理 企业业务量大、员工需要各司其职,企业管理员可以按照职责将华为云服务资源使用权限分配给各个员工 企业管理员为不同部门创建用户组,将员工对应的IAM用户加入用户组,按照部门职能为用户组分所需权限。员工可以通过IAM用户帐号登录华为云,按照权限使用资源 优势 独立的访问凭证 帐号和IAM用户独立安全凭证,避免共享帐号和密码 精细的权限管理 提供服务级、资源级的操作粒度权限配置,管理员可以基于项目给IAM用户授予最小权限 丰富的安全策略 提供敏感操作保护、访问控制等多种安全策略,多方位保障用户信息和系统 数据安全 性
应用身份管理服务功能描述
身份全生命周期管理 实现用户信息集中存储以及用户在各应用系统中账号的集中管理。结合用户管理的不同场景,如入职、调岗、返聘、离职等,提供 自动化 创建、权限变更、账号禁用、账号删除等功能 应用单点登录 统一访问入口,用户单点登录所有授权应用。支持按CAS、SAML2.0、OAuth2.0、OIDC标准协议集成,实现应用系统单点登录,不可改造的应用还支持通过插件代填方式集成 融合多因素认证 对内外部认证源及各种认证方式进行统一管理和调度,如短信、OTP、 二维码 扫描等。支持按照系统安全级别为应用系统配置不同的智能认证组合 自然人实名认证 将逐步支持多种实名机制,可按照风险等级进行认证等级配置,支持短信、身份证号等多种不同的认证渠道 多级权限管理模型 将不同系统的权限统一纳管,按照用户、岗位、群组/角色等方式进行授权。支持平台级、应用级、核心级、细粒度级等多级权限管控,提供权限分级审批等功能 智能访问控制 用户可基于访问上下文信息(访问时间/地点/设备等)和用户操作日志,使用设定的规则实时判断用户访问过程中的风险。如果发现风险可以实时调度认证方式加强校验,实现自适应的智能访问控制 集中身份审计 用户可以集中管理操作日志、访问日志等,可以通过内置报表引擎进行可视化展示 用户自助服务中心 提供用户信息维护服务,使身份库能够及时更新和维护准确的身份信息;提供用户自助修改、密码找回功能,提供用户自助注册功能,有效提高管理效率