云IAM - 云上身份和访问管理

参考文献

• 云IAM原理&风险以及最佳实践 (opens new window)
• 云安全联盟大中华区-《IAM白皮书（试读本）》 (opens new window)

云IAM

云上身份和访问管理服务

• 由云厂商提供的一种服务；
• 用于帮助用户安全地控制 对云上资源的访问；
• 用户可以使用 IAM 来控制身份验证 以及 授权，从而使用相应的资源。

IAM 八大管理维度

1. 角色
2. 用户
3. 用户组
4. 用户凭据
5. 访问策略
6. 用户密码策略
7. 多因素身份认证
8. 用于编程访问的API密钥

身份和访问管理概念

1. 配置阶段：注册和授权访问权限。
2. 操作阶段：识别、验证和权限控制。

技术体系框架

工作原理

云IAM 风险案例

可查阅本站点 “事件库 --> 云IAM安全”。

云IAM 最佳实践

云IAM最佳实践	---
避免使用根用户凭据
使用角色委派权
遵循最小权限原则
使用组的形式管理账号权限
不使用同一 IAM 身份 执行多个管理任务
为 IAM 用户配置强密码策略
启用多重验证
定期轮换凭证
删除不需要的 IAM 用户数据
制定细粒度策略条件
监控 IAM 事件
在云服务器实例上使用角色，而非长期凭据