將欲取天下而為之，吾見其不得已。天下神器，不可為也，不可執(zhí)也。為者敗之，執(zhí)者失之。是以圣人無為，故無敗，故無失。夫物或行或隨；或覷或吹；或強(qiáng)或羸；或載或隳。是以圣人去甚、去奢、去泰。

---引用《道德經(jīng)》

在去年的RSA大會(huì)上，很多企業(yè)都開始將自己的產(chǎn)品貼上“身份與訪問管理（IAM）”的標(biāo)簽，大談“身份治理”，“身份背景/上下文”，“特權(quán)訪問管理”，“隱私”，“行為生物特征識(shí)別”，“生物識(shí)別平臺(tái)”以及“以人為中心的安全”等問題，對(duì)于這種趨勢(shì)，我們要盡快習(xí)慣他。

全球IT安全公司Herjavec Group的首席執(zhí)行官兼Shark Tank投資者Robert Herjavec表示，

“用戶的問題在于他們是互動(dòng)的。身份管理對(duì)于企業(yè)來說如此具有挑戰(zhàn)性的原因是，用戶會(huì)入職、離職、晉升、訪問敏感文件系統(tǒng)、共享機(jī)密數(shù)據(jù)、發(fā)送帶有潛在秘密信息的電子郵件、嘗試訪問無權(quán)查看的數(shù)據(jù)，或是嘗試做我們本不該做的事情等。所以，‘一勞永逸’這種事根本不適用于我們。”

但是很慶幸的是我們現(xiàn)在擁有者非常多的IAM工具可以很方便的給我們提供幫助。

扯的有點(diǎn)遠(yuǎn)，回到主題，我們先來看看幾大公用云運(yùn)營(yíng)商對(duì)應(yīng)IAM的定義：

AWS：IAM enables you to control who can do what in your AWS account.

華為云：統(tǒng)一身份認(rèn)證（Identity and Access Management，簡(jiǎn)稱IAM）是公有云系統(tǒng)（華為云）的身份管理服務(wù)，包括用戶身份認(rèn)證、權(quán)限分配、訪問控制等功能。

阿里云：RAM (Resource Access Management) 是阿里云為客戶提供的用戶身份管理與資源訪問控制服務(wù)。使用 RAM，您可以創(chuàng)建、管理 RAM 用戶（比如員工、系統(tǒng)或應(yīng)用程序），并可以控制這些 RAM 用戶對(duì)資源的操作權(quán)限。當(dāng)您的企業(yè)存在多用戶協(xié)同操作資源時(shí)，使用 RAM 可以讓您避免與其他用戶共享云賬號(hào)密鑰，按需為用戶分配最小權(quán)限，從而降低企業(yè)信息安全風(fēng)險(xiǎn)。

對(duì)于云服務(wù)供應(yīng)商（后面簡(jiǎn)稱云商）而言，云商的用戶（或者說使用者）往往是互聯(lián)網(wǎng)企業(yè)或者傳統(tǒng)企業(yè)中IT部門，我們可以看看云商提供的服務(wù)，Web應(yīng)用防火墻，數(shù)據(jù)庫備份DBS，容器服務(wù)，性能測(cè)試PTS等等這些專業(yè)的名稱，相對(duì)于公司的財(cái)務(wù)部門，人事部門而言其實(shí)比較陌生，也無法知曉需要使用什么？

那么就會(huì)帶來一個(gè)問題？對(duì)于一家中小型軟件企業(yè)而言 ，IT部門可能會(huì)分布同的項(xiàng)目組，不同的項(xiàng)目組會(huì)提出需要的云商里面的產(chǎn)品，但是財(cái)務(wù)或者人事部門可能只是會(huì)購(gòu)買相應(yīng)的產(chǎn)品，對(duì)于購(gòu)買產(chǎn)品的賬號(hào)肯定不能提供給開發(fā)人員或者IT部門，那么IT部門如何使用需要的資源呢？

舉例說明一下：

A企業(yè)是一家中小型軟件企業(yè)，有四條產(chǎn)品線，每一個(gè)產(chǎn)品線分3個(gè)不同的項(xiàng)目組，每一個(gè)項(xiàng)目組5個(gè)人， A企業(yè)現(xiàn)在有20臺(tái)ESB服務(wù)器，有20臺(tái)數(shù)據(jù)庫服務(wù)，20臺(tái)緩存服務(wù)器，12臺(tái)OSS服務(wù)，以及其他等服務(wù)。

那么如何很好的去區(qū)分哪些資源歸哪些項(xiàng)目組管理，如果沒有IAM，就會(huì)出現(xiàn)二種極端情況，一種是公司將賬號(hào)提供給各個(gè)項(xiàng)目組，然后去登陸查看，另外一種就是我們創(chuàng)建子賬號(hào)，然后在每一個(gè)產(chǎn)品服務(wù)中給每一個(gè)子賬號(hào)授權(quán)。

對(duì)于第一種簡(jiǎn)單暴力的處理方式，帶來的危害就是你訪問了你不該訪問的資源了，并且你擁有對(duì)這些資源擁有過大的權(quán)利，刪除/修改風(fēng)險(xiǎn)可想而知。但是這個(gè)也一般只有一些極小企業(yè)或者個(gè)人才會(huì)這么去處理自己的權(quán)限，其實(shí)

那么第二種呢，用戶可以在不同的平臺(tái)給不同的資源進(jìn)行授權(quán)，但是我們有沒有想，這種授權(quán)的復(fù)雜度是不是變得很高，并且錯(cuò)誤率是不是很多。

我們來看看阿里云對(duì)于IAM（阿里稱為RAM）的功能定義：

集中管理 RAM 用戶及其密鑰

在云賬號(hào)下創(chuàng)建并管理用戶及其訪問密鑰，并為用戶綁定/解綁多因素認(rèn)證設(shè)備。

集中控制 RAM 用戶的訪問權(quán)限

為每個(gè)用戶或用戶組綁定一個(gè)或多個(gè)權(quán)限策略，限制用戶對(duì)資源的操作權(quán)限。

集中控制 RAM 用戶的資源訪問方式

要求用戶必須使用安全信道（如 SSL）、在指定時(shí)間范圍、或在指定源 IP 條件下才能操作指定的云資源。

集中管理 RAM 角色與外部賬號(hào)的身份聯(lián)合

使用 RAM 角色與外部身份系統(tǒng)（比如您的企業(yè)本地域賬號(hào)、您的 app 用戶賬號(hào)）進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)直接使用外部身份登錄到一個(gè) RAM 角色身份訪問阿里云控制臺(tái)或 API。

集中控制云資源

對(duì)用戶創(chuàng)建的實(shí)例或數(shù)據(jù)進(jìn)行集中控制。當(dāng)用戶離開您的組織時(shí)，這些實(shí)例或數(shù)據(jù)仍然受您的完全控制。

統(tǒng)一賬單

云賬戶接收包括所有 RAM 用戶的資源操作所發(fā)生費(fèi)用的統(tǒng)一賬單。

阿里云強(qiáng)調(diào)的是集中式管理，對(duì)于用戶而言可訪問資源集中式管理給用戶帶來極大的方便，對(duì)于安全組件而言，獲得可訪問資源也帶來極大的方便。

我來舉一個(gè)例子說明一下：

假如OSS需要做一個(gè)連接防止盜鏈，我們可能就需要OSS和CDN進(jìn)行合作，那么CDN基于OSS的防盜鏈規(guī)則進(jìn)行處理，那么如果在有其他的這種防盜鏈操作，是不是就會(huì)出現(xiàn)CDN又需要調(diào)用其他的組件（中間件），那么對(duì)于CDN而言就會(huì)變的復(fù)雜，如果按照阿里的集中管理，那么CDN至始至終之和IAM進(jìn)行交互，并且所有的規(guī)則定義也全部在IAM中進(jìn)行管理。

這樣的情況其實(shí)在公有云中有很多使用的場(chǎng)景，例如用戶可訪問ESB服務(wù)器，或者數(shù)據(jù)庫服務(wù)，對(duì)于公有云而言，經(jīng)常需要設(shè)置可訪問IP地址段，那么是否不管是ESB服務(wù)或者數(shù)據(jù)庫服務(wù)是不是都需要設(shè)置IP地址段，那么為什么不由IAM控制呢？

以上全部說明的是公用云里面IAM的操作