云中的 IAM 有何不同

当谈到云中的 IAM 时，有三大不同之处必须得到重视。

首先，IAM 跨越多个地点。事实上，每个云服务都有自己的身份库，您可以在其中创建账户。问题是这些账户需要管理。想象一下，一家拥有 1000 名员工的公司使用 100 种不同的云服务，每个人都需要访问这些服务。如果没有 FIM（我们将很快对其进行更深入的介绍），就需要管理 10 万个账户和密码。

其次，这些云提供商的 IAM 系统也不尽相同。有些会有不同级别的访问权限，有些则没有。例如，一些 SaaS 应用程序可能会有细化到数据库字段级别的控制（例如，只有人力资源经理可以访问薪资数据），而对于其他应用程序，如果用户拥有一个账户，他们就可以访问应用程序中的任何内容。

最后，无论是通过控制台还是通过 API 以编程方式执行任何操作，其能力都由云环境中的 IAM 系统决定。如果 CSP 只允许或拒绝访问应用程序，而无法限制应用程序本身的操作，那么您就必须接受提供商承担的风险。再次回到之前的讨论，在签署任何合同之前，您应该在对提供商进行评估时发现这一点。

CCSK 考试将包括有关 IAM 的问题，因为 IAM 几乎涉及 CCSK 领域中的每一个主题。同样，这一点也非常重要。在下一节中，我们将回顾一些 IAM 术语，深入了解云身份，然后继续讨论访问管理。

理解 IAM 的基本术语

在深入了解 IAM 之前，您应该熟悉以下部分定义的术语。你不太可能通过定义本身的测试，但你可能会遇到使用这些术语的问题。

访问控制

访问控制允许实体访问资源。您只希望允许访问实体应该访问的内容，而不是更多内容；这就是所谓的最小权限。资源 可以通过多种方式访问，例如通过创建、读取、更新和删除（CRUD）操作，每种操作都可以是单独授予的权限。

实体

实体是计算机系统中的任何事物或任何人。例如，实体可以是用户、设备、应用程序或由 IAM 系统识别和验证的系统。实体可以通过系统内的访问控制拥有不同的角色和权限。任何操作或资源访问都应受到监控并记录在案，以确保其对资源没有过多的权限。这不仅仅是一个安全问题。出于审计和合规目的，也可能需要这样做。

身份

这是一组唯一的属性，用于定义特定环境中的主体。例如，您在 Facebook ...