统一身份认证服务 IAM

统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理、访问控制和身份认证的基础服务,您可以使用IAM创建和管理用户、用户组,通过授权来允许或拒绝他们对云服务和资源的访问,通过设置安全策略提高帐号和资源的安全性,同时IAM为您提供多种安全的访问凭证

本服务默认开通,免费使用

统一身份认证服务 IAM

统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理、访问控制和身份认证的基础服务,您可以使用IAM创建和管理用户、用户组,通过授权来允许或拒绝他们对云服务和资源的访问,通过设置安全策略提高帐号和资源的安全性,同时IAM为您提供多种安全的访问凭证

本服务默认开通,免费使用

产品优势

  • 安全访问

    IAM用户和帐号拥有独立访问凭证,可设置多种安全策略,实时生成审计日志,使您的帐号、资源更加安全

    IAM用户和帐号拥有独立访问凭证,可设置多种安全策略,实时生成审计日志,使您的帐号、资源更加安全

  • 精细授权

    支持服务级、资源级的操作权限控制,给帐号中的IAM用户、委托对象分配最小权限,精细地控制其对华为云资源的访问范围

    支持服务级、资源级的操作权限控制,给帐号中的IAM用户、委托对象分配最小权限,精细地控制其对华为云资源的访问范围

  • 灵活管理

    支持将自己帐号中的资源委托给更专业、高效的其他华为云帐号,与其共同完成企业业务,业务管理更灵活

    支持将自己帐号中的资源委托给更专业、高效的其他华为云帐号,与其共同完成企业业务,业务管理更灵活

  • 高效认证

    支持基于SAML、OIDC协议及自定义身份代理的联邦身份认证,简单配置即可实现通过企业已有身份系统登录华为云,有效提升办公效率

    支持基于SAML、OIDC协议及自定义身份代理的联邦身份认证,简单配置即可实现通过企业已有身份系统登录华为云,有效提升办公效率

应用场景

用户访问权限管理


企业业务量大、员工需要各司其职,企业管理员可以按照职责将华为云服务资源使用权限分配给各个员工

企业管理员为不同部门创建用户组,将员工对应的IAM用户加入用户组,按照部门职能为用户组分所需权限。员工可以通过IAM用户帐号登录华为云,按照权限使用资源


优势

  • 独立的访问凭证

    帐号和IAM用户独立安全凭证,避免共享帐号和密码

  • 精细的权限管理

    提供服务级、资源级的操作粒度权限配置,管理员可以基于项目给IAM用户授予最小权限

  • 丰富的安全策略

    提供敏感操作保护、访问控制等多种安全策略,多方位保障用户信息和系统数据安全性

合作伙伴授权管理


企业可以使用IAM的委托功能,将部分业务委托更专业的其他企业来完成,从而高效、高质量完成业务

帐号A创建委托并授权,被委托帐号B可以登录华为云后切换角色,按照权限以委托帐号A的角色使用资源、完成业务


优势

  • 独立的访问凭证


    帐号A和被委托帐号B独立安全凭证,避免共享帐号和密码

  • 简单的委托控制

    可以随时根据业务需要,通过简单操作,建立、修改或取消委托关系

  • 安全的授权委托

    创建委托并授权后,被委托帐号B只能按照权限使用资源,保障帐号、数据、资源安全

  • 灵活的业务分配

    被委托方帐号B可以按照业务需要,将委托资源使用权限分配给帐号中的IAM用户

身份管理系统集成


企业已有身份管理系统时,企业管理员通过IAM可以实现使用企业管理系统登录华为云,无需为用户重新创建帐号,无需管理多个身份系统

企业管理员配置身份提供商,企业员工即可使用企业管理系统帐号登录华为云,根据权限使用云服务资源


优势

  • 高效的管理用户

    只需要在企业管理系统中为用户创建帐号,用户即可同时访问两个系统,降低人员管理成本

  • 简单的用户操作

    用户在企业管理系统中登录即可访问两个系统

  • 丰富的实现方式

    支持基于SAML、OIDC标准协议的单点登录,如企业管理系统不支持SAML、OIDC协议,IAM提供自定义身份代理方式实现单点登录

功能描述

  • 权限管理

    管理员可以按需创建IAM用户,并为其授予资源访问权限,实现精细的权限管理

    管理员可以按需创建IAM用户,并为其授予资源访问权限,实现精细的权限管理

  • 委托管理

    管理员可以将帐号中的云服务资源委托给其他帐号或云服务,安全便捷地管理委托资源

    管理员可以将帐号中的云服务资源委托给其他帐号或云服务,安全便捷地管理委托资源

  • IAM用户管理
    IAM用户管理

    创建IAM用户,避免共享帐号、密码,即可安全地访问帐号中的资源

    创建IAM用户,避免共享帐号、密码,即可安全地访问帐号中的资源

  • 用户组管理
    用户组管理

    用户组是用户的集合,IAM通过用户组功能实现用户的授权

    用户组是用户的集合,IAM通过用户组功能实现用户的授权

  • 项目管理
    项目管理

    在IAM创建子项目,以子项目为单位授权,则IAM用户仅能访问指定子项目中的资源

    在IAM创建子项目,以子项目为单位授权,则IAM用户仅能访问指定子项目中的资源

  • 权限管理
    权限管理

    系统预置系统角色、系统策略。如系统权限不满足授权要求,管理员可以创建自定义策略

    系统预置系统角色、系统策略。如系统权限不满足授权要求,管理员可以创建自定义策略

  • 委托其他华为云帐号管理资源
    委托其他华为云帐号管理资源

    授予其他华为云帐号资源访问权限,让该帐号管理您帐号中的资源

    授予其他华为云帐号资源访问权限,让该帐号管理您帐号中的资源

  • 委托其他云服务管理资源
    委托其他云服务管理资源

    部分云服务之间需要协同工作,授予云服务资源访问权限,该服务可以访问依赖服务

    部分云服务之间需要协同工作,授予云服务资源访问权限,该服务可以访问依赖服务

  • 安全管理

    管理员可以控制云服务系统中用户的安全策略,提高用户信息和系统数据的安全性

    管理员可以控制云服务系统中用户的安全策略,提高用户信息和系统数据的安全性

  • 联邦身份认证

    管理员可以创建身份提供商,企业员工在企业管理系统通过联邦身份认证跳转到华为云系统中

    管理员可以创建身份提供商,企业员工在企业管理系统通过联邦身份认证跳转到华为云系统中

  • 基本信息
    基本信息

    帐号和IAM用户可以修改自己的登录密码、关联手机号、绑定邮件地址

    帐号和IAM用户可以修改自己的登录密码、关联手机号、绑定邮件地址

  • 敏感操作
    敏感操作

    开启登录保护、敏感操作保护、访问密钥保护,进行多重身份验证

    开启登录保护、敏感操作保护、访问密钥保护,进行多重身份验证

  • 登录验证策略
    登录验证策略

    设置帐号和IAM用户会话超时自动退出、多次登录失败自动锁定等验证策略

    设置帐号和IAM用户会话超时自动退出、多次登录失败自动锁定等验证策略

  • 密码策略
    密码策略

    设置帐号及IAM用户密码规则、密码有效期及最短使用时间等

    设置帐号及IAM用户密码规则、密码有效期及最短使用时间等

  • 访问控制
    访问控制

    设置允许IAM用户访问华为云的IP地址区间和网段、VPC终端节点

    设置允许IAM用户访问华为云的IP地址区间和网段、VPC终端节点

  • 多因素认证
    多因素认证

    帐号和IAM用户均可以绑定虚拟MFA设备,提升帐号安全性

    帐号和IAM用户均可以绑定虚拟MFA设备,提升帐号安全性

  • 基于标准协议的联邦身份认证
    基于标准协议的联邦身份认证

    支持基于SAML、OIDC标准协议的联邦身份认证

    支持基于SAML、OIDC标准协议的联邦身份认证

  • 自定义身份代理
    自定义身份代理

    如果企业管理系统不支持SAML、OIDC协议,可以配置自定义身份代理实现联邦身份认证

    如果企业管理系统不支持SAML、OIDC协议,可以配置自定义身份代理实现联邦身份认证