跳到主要内容

什麼是CIAM?

CIAM 簡介

說明

身份和訪問控制管理系統,實現使用者的身份認證和資源訪問控制。
透過CIAM,解決了公有云環境中如下兩個安全問題:

  • 每次的API呼叫者是否為可信實體
  • 呼叫API的可信實體是否被授權訪問資源

認證授權模型

所有云資源的身份認證和許可權控制都是都是基於AccessKey/SecretKey的簽名認證模型。例如,當用戶想以個人身份向COS傳送請求時,該模型開始運轉:

  1. 首先將傳送的請求按照COS指定的格式生成待簽名字串;
  2. 使用SecretKey對待簽名字串進行簽名;
  3. COS收到請求後,將簽名信息傳送至CIAM服務,請求身份驗證和許可權鑑別;
  4. CIAM透過AccessKey找到對應SecretKey,以同樣方法提取簽名字串和驗證碼;
  5. 如果4計算出來的驗證碼和請求的一樣即認為該請求合法,驗證透過;
  6. 否則,CIAM返回驗證失敗錯誤,COS將給使用者返回HTTP 403錯誤。

CIAM產品功能

CIAM包括下列功能:

  1. 管理CIAM使用者及其金鑰 —— 可以在根賬戶下建立並管理子使用者及其訪問金鑰
  2. 管理CIAM使用者的訪問許可權 —— 可以透過為子使用者繫結授權策略,來限制使用者對指定資源的操作許可權
  3. 分組分權管理CIAM使用者 —— 可以透過建立使用者組,為使用者組分配授權策略,將使用者加入使用者組,來實現便捷的集中賦權和取消授權
  4. 集中控制雲資源 —— 可以對使用者建立的例項或資料進行集中控制。當用戶離開您的組織時,這些例項或資料仍然受您的完全控制。
  5. 統一賬單 —— 根賬戶將收到包括所有CIAM子使用者的資源操作所產生的費用的單一賬單

使用流程

如何使用CIAM的上述功能,大致分為以下幾個步驟:

建立子使用者->給子使用者授權->子使用者使用授權服務