将 IBM Cloud IAM 概念映射到其他云提供者
身份和访问权管理用于安全地认证用户并提供对云资源的访问权。 虽然跨云提供者的 IAM 是保护认证和访问权的一致方法,但每个云提供者内的概念及其应用方式可能有所不同。 查看表中的以下信息,以了解有关 IBM Cloud IAM 中的概念如何与其他云提供者的概念相关或进行比较的更多信息,以帮助您顺利使用 IBM Cloud。
比较 IAM 概念
IBM Cloud IAM 概念到其他云提供者 (例如 Amazon Web Services (AWS),Google Cloud Platform 和 Microsoft Azure) 的概念的以下映射可能不是完全一对一匹配。 但是,如果您熟悉另一个提供程序中的特定概念,那么此映射旨在帮助您在 IBM Cloud中找到最接近的相关概念。
| IBM Cloud 概念 | IBM Cloud 描述 | AWS | Azure | Google Cloud Platform |
|---|---|---|---|---|
| 标识 | 用户和服务标识 | 用户,组和角色 | 用户,组,服务主体,受管身份 | 用户帐户和服务帐户。 受支持的身份类型: Google 帐户,服务帐户,Google 组,G Suite 域,Cloud Identity 域 |
| 用户 | 在 IAM 外部进行管理。 用户在 IBM Cloud 中唯一标识为 iam_id 值,但可以来自 IBMid,App ID或 SoftLayer | 在 IAM 中进行管理。 身份联合到外部身份管理系统。 | 在 Active Directory 中受管 | 在 IAM 外部进行管理。 身份联合到外部身份管理系统。 |
| 服务标识 | 应用程序或服务的标识。 | 分配给应用程序的角色 | 用户分配的身份 | 服务帐户 |
| API 密钥 | 用于用户或服务标识的凭证 | 访问密钥 | API 密钥 | API 密钥 |
| 访问组 | 一种组织用户和服务标识的方法,其中为组的所有成员分配相同的访问权。 | 组,角色 | Active Directory 组 | Google 组 |
| 可信概要文件 | 一种方法,用于根据 SAML 属性或为计算资源中运行的所有应用程序分配对联合用户的访问权,而无需管理和轮换凭证。 | 角色 | 托管身份服务 | 工作负载标识 |
| 策略 | 由主题,目标和角色组成的访问权分配。 | 策略 | 节点分配 | 策略 |
| 策略主题 | 用户,服务标识或访问组 | IAM 用户,组或角色 | 安全主体 | 资源 |
| 角色 | 角色是特定资源的操作集合,用作构建块以生成访问策略。 | AWS管理的策略 | 角色定义 | 预定义的角色 |
| 定制角色 | 客户定义的和指定的角色,仅包括用户选择的操作。 | 客户管理的策略 | 定制角色 | 定制角色 |
| 操作 | 允许在平台或服务的上下文中完成的内容 | 操作 | 许可权 | 许可权 |
| 资源 | 访问策略的目标 | 资源 | 资源 | 资源 |
| 资源组 | 支持 IAM 的服务的逻辑组织容器 | 标记 | 资源组 | 项目 |
| 公共访问权 | 通过称为“公共访问”的缺省访问组启用对特定资源的公共访问。 可以在每个帐户上禁用此功能。 | Amazon S3 的功能部件,可以针对特定资源启用,也可以在帐户或存储区级别禁用。 | 可以对特定帐户类型或资源启用公共读访问权。 可以在存储器帐户或容器级别将其禁用。 | Google有一个allAuthenticatedUsers标识符,代表所有服务账户和所有通过Google账户验证的用户,这些用户也可以被授予访问权限。 |
| 审计 | 审计与 IBM Cloud Activity Tracker Event Routing | 使用 AWS CloudTrail 进行审计 | Azure 日志记录和审计活动日志 | 使用审计日志记录进行审计 |
| 企业管理的 IAM | 集中管理 IBM Cloud 多帐户环境的访问和安全设置。 | AWS 控制塔 |
将用户联合到 IBM Cloud
IBM Cloud 为您提供了两种方法来联合公司身份提供者 (IdP),这通过授予员工对 IBM Cloud 的访问权及其公司用户名和密码来简化登录。 您可以 使用 IBMid进行联合,也可以选择创建 IBM Cloud App ID 服务实例,并将其用作将用户联合到 IBM Cloud 帐户的方法。 有关更多信息,请参阅 从外部身份提供者启用认证。
这两个联合选项都要求用户是帐户的成员,或者具有可信概要文件对帐户的访问权才能完成操作。 如果未配置可信概要文件,那么帐户所有者或管理员必须邀请个人 IBMid 加入 IBM Cloud 帐户。 仅当受邀的 IBMid 接受邀请时,用户才会将帐户添加为活动用户。 对于 App ID,用户将自动加载到 IBM Cloud,而无需邀请每个用户加入帐户。 在这两种类型的联合中,用户都是可以访问平台的活动 IBM Cloud 帐户用户,包括支持 IAM 的资源和经典基础架构,具体取决于其分配的访问权。
可信概要文件以不同方式处理联合用户。 如果客户联合其公司 IdP,那么不会将来自该 IdP 的用户作为典型用户添加到帐户。 而是在登录时对用户的基于 SAML 的 IdP 属性进行求值,如果这些属性满足可信概要文件的所有条件,那么系统会提示他们应用一个或多个可信概要文件。 可信概要文件授予用户在有限的时间段 (例如,1-4 小时) 内完成专门任务和特定任务所需的访问级别。 基于时间的访问允许频繁进行认证检查以降低安全风险。 这些通常是您希望避免在日常工作中无意中执行的关键任务。 用户无需加载到 IBM Cloud,而是通过信任关系自动添加用户。 如果用户离开公司,您可以在目录中删除该用户的公司身份,这将撤销对 IBM Cloud的访问权。