IAM 身份与访问管理
Identity and Access Management —— 帮组织管理数字身份的流程和技术集合。
解决什么问题
公司有几百号人、几十个系统、几千台机器——谁能登哪个、能干啥、什么时候被收回权限。没 IAM 就是 Excel + 邮件审批,死人。
四大支柱
| 环节 | 干什么 |
|---|---|
| Identification | 你是谁(用户名、ID) |
| Authentication | 证明你是你(MFA、密码、生物特征) |
| Authorization | 你能干啥(RBAC、ABAC、policy) |
| Accountability | 你干了啥(审计日志) |
核心原则
- 最小权限原则 —— 只给完成任务必需的权限
- Separation of Duties —— 关键操作要俩人签
- Just-In-Time (JIT) Access —— 临时给、用完收
常见实现
- 企业: Okta、Azure AD / Entra ID、Ping Identity
- 云: AWS IAM、GCP IAM
- 协议: SAML、OAuth 2.0、OpenID Connect
为什么是安全核心
IBM 报告: 一半以上的 breach 都和身份相关(凭据泄露、过度授权)。IAM 做不好,其他安全控制都白搭——攻击者直接拿合法身份登进来。