- tocdepth
2
Основные понятия сервиса IAM
В этом разделе описаны основные концепции, необходимые для понимания работы сервиса Identity and Access Management.
Аккаунт
Аккаунт — это учетная запись администратора, которая создается после успешной регистрации на облачной платформе и имеет разрешения на полный доступ к облачным ресурсам. Аккаунт можно использовать для управления жизненным циклом учетных записей пользователей IAM.
Пользователь IAM
Пользователь IAM представляет собой человека (или приложение), который может взаимодействовать с ресурсами облачной платформы. Каждый пользователь IAM имеет свои собственные учетные данные (пароль и ключи доступа) и использует облачные ресурсы на основе назначенных разрешений.
Взаимосвязь аккаунта и его пользователей IAM
Аккаунт и его пользователи IAM находятся в иерархическом подчинении. Пользователи IAM создаются с помощью аккаунта и имеют только разрешения, предоставленные администратором аккаунта. Администратор аккаунта может изменить или отозвать разрешения пользователей IAM в любое время.
Учетные данные
Учетные данные подтверждают права пользователя, когда пользователь получает доступ к облачной платформе через консоль или API. Администратор аккаунта может управлять своими учетными данными и учетными данными созданных пользователей IAM. Учетные данные включают пароль и ключи доступа:
Пароль — общие учетные данные для входа в консоль управления или вызова API.
Ключ доступа — пара идентификатор ключа доступа/секретный ключ доступа (AK/SK), которая может использоваться только для вызова API.
Примечание
Каждый ключ доступа предоставляет подпись для криптографической проверки подлинности, чтобы гарантировать, что запросы доступа являются секретными, полными и правильными.
Виртуальное MFA-устройство
Виртуальное MFA-устройство — это приложение, которое генерирует 6-значные проверочные коды в соответствии со стандартом алгоритма одноразовых паролей на основе времени (TOTP Algorithm). MFA-устройства могут быть аппаратными или программными. В настоящее время облачная платформа поддерживает программные виртуальные MFA-устройства, которые представляют собой прикладные программы, работающие на интеллектуальных устройствах, таких как мобильные телефоны.
Группа пользователей
Группы пользователей можно использовать для назначения разрешений пользователям IAM. Чтобы назначить разрешения новым пользователям, их необходимо добавить в одну или несколько групп и предоставить разрешения этим группам. Пользователи наследуют разрешения от групп, к которым принадлежат, и могут выполнять определенные операции с облачными сервисами. Если пользователь добавляется в несколько групп пользователей, то он наследует разрешения, назначенные всем этим группам.
По умолчанию новые пользователи IAM не имеют разрешений.
Группа пользователей «admin» по умолчанию имеет все разрешения, необходимые для использования всех облачных ресурсов. Пользователи в этой группе могут выполнять операции со всеми ресурсами, включая, помимо прочего, создание групп и пользователей, назначение разрешений и управление ресурсами.
Авторизация
Авторизация — это процесс предоставления пользователю необходимых разрешений на выполнение задачи. После назначения группе пользователей определенной системной или настраиваемой политики пользователи в группе наследуют разрешения, определенные этой политикой.
Разрешения
Разрешения предоставляются объектам IAM (пользователям, группам и ролям), при этом по умолчанию у этих объектов отсутствуют какие-либо разрешения.
Роли — тип механизма авторизации с крупной степенью детализации, который определяет разрешения на уровне сервиса на основе обязанностей пользователя.
Существует только ограниченное количество ролей для предоставления разрешений пользователям.
Политики — тип детального механизма авторизации, который определяет разрешения, необходимые для выполнения операций с определенными облачными ресурсами при определенных условиях.
Этот механизм обеспечивает более гибкую авторизацию на основе политик и безопасный контроль доступа.
IAM поддерживает как системные, так и пользовательские политики.
Системная политика определяет общие действия облачного сервиса. Системные политики можно использовать для назначения разрешений группам пользователей и нельзя изменять.
Примечание
Если необходимо назначить разрешения для определенного сервиса группе пользователей или представительству в консоли IAM, но не удается найти соответствующие политики, это означает, что сервис не поддерживает управление разрешениями через IAM.
Пользовательская политика определяет действия, поддерживаемые облачными сервисами, и используется в дополнение к системным политикам для более точного управления доступом. Пользовательские политики можно создавать в визуальном редакторе или в представлении JSON.
Проект
Регион соответствует проекту. Проекты по умолчанию определяются для группировки и физической изоляции ресурсов (включая вычислительные ресурсы, ресурсы хранения и сетевые ресурсы) между регионами. В проекте по умолчанию можно предоставить пользователям разрешения на доступ ко всем ресурсам в регионе, связанном с проектом. Если требуется более точное управление доступом, можно создавать подпроекты в проекте по умолчанию и создавать ресурсы в подпроектах. Затем можно назначить необходимые разрешения для доступа пользователей только к ресурсам в определенных подпроектах.
Представительство
Представительство — это доверительные отношения, которые можно установить между аккаунтами или между аккаунтом и облачным сервисом для делегирования доступа к ресурсам.
Делегирование аккаунта — можно делегировать другой аккаунт для реализации O&M на своих ресурсах на основе назначенных разрешений.
Делегирование облачных сервисов — сервисы облачной платформы взаимодействуют друг с другом, а некоторые облачные сервисы зависят от других сервисов. Можно создать представительство, чтобы делегировать облачный сервис для доступа к другим сервисам.
Корпоративный проект (Enterprise-проект)
Корпоративные проекты помогают логически изолировать облачные ресурсы и управлять доступом к ним. В отличие от IAM-проектов, корпоративные проекты позволяют выдавать доступ к отдельным экземплярам облачных ресурсов, например к конкретному хранилищу S3 или группе виртуальных машин. Также корпоративные проекты бывают полезны, когда нужно разграничить ресурсы, например среди разных команд с раздельным бюджетом.
для Dev & Test