8、云环境中的身份与访问管理及安全策略解析

云环境中的身份与访问管理及安全策略解析

1. 云计算中的身份与访问管理

云计算为大量并发用户提供共享网络、计算能力、内存和存储。然而，对共享资源的并发访问增加了安全漏洞和对云服务的威胁，因此身份与访问管理（IAM）在云计算中至关重要。云工程师应采用比传统方法更高的应用级和网络级安全措施，以避免钓鱼攻击、拒绝服务攻击和中间人攻击等威胁。

1.1 云集群分类

云集群主要分为公共云、私有云和混合云：
| 云类型 | 描述 |
| ---- | ---- |
| 公共云 | 由第三方提供商通过公共互联网提供，任何感兴趣的方都可使用 |
| 私有云 | 与公共云隔离，在更安全的专用网络上运行 |
| 混合云 | 结合了私有云和公共云的特点 |

此外，云集群还通过不同的模型进行暴露，如基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）和无服务器。

1.2 IAM的基本要素

通过实际用例和行业实践，可以确定IAM的基本要素包括：
- 身份和组 ：用户账户、用户组、用户声明、用户属性和用户角色的集合。
- 关系 ：描述身份、组、属性和角色之间的依赖关系。
- 凭证 ：代表用户和资源的访问密钥。
- 权限 ：描述用户、组、凭证和关系的访问策略。

常见的访问控制原则有基于角色的访问控制、基于组的访问控制、基于属性的访问控制和基于策略的访问控制。