29、身份与访问管理全解析：从基础到云环境实践

身份与访问管理全解析：从基础到云环境实践

1. IAM 系统的角色与访问授予

在身份与访问管理（IAM）中，系统需具备授予实体角色及相关访问权限的能力。当添加用户并为其分配角色时，IAM 系统会确保为该用户配置相应的访问权限。通常，角色和组会在目录中预先定义，后续只需将用户或对象分配到这些角色或组，相应级别的访问权限便会自动启用。

同时，IAM 应促进审核流程的开展，只有少数管理员有权在目录中添加或移除用户及对象。用户可请求特定访问权限，但在实际分配权限前，必须经过审核和批准。特权访问管理（PAM）和特权身份管理（PIM）可用于定义这一流程。

2. 使用 Active Directory 作为中央身份存储

在深入了解 Active Directory（AD）之前，务必明确它与 Azure Active Directory 不同。Azure Active Directory 是 Azure 中的认证服务，而 AD 是真正的目录。

企业应仅拥有一个中央目录，将身份信息集中存储。不过，这也存在风险，若目录被攻破，攻击者将获取企业内的所有身份信息。因此，目录和 IAM 系统的安全性至关重要，目录数据需得到妥善保护。Saviynt 和 CyberArk 等工具可在 IAM 之上添加额外的安全层。

这些工具部署在 IAM 之上，提供保险箱功能，通过在加密保险箱中对密码进行哈希处理等方式，确保用户无法直接看到密码，而是由工具提供。此外，它们还能记录登录系统的会话，实现对环境活动的最大可见性，即审计跟踪。

AD 主要由两个重要组件构成，在云环境中均具有重要意义：
- 目录本身
- 域服务 </