CIAM 简介

说明

ChinaC Identity and Access Management (CIAM) ,ChinaC身份和访问控制管理系统,实现用户的身份认证和资源访问控制。

通过CIAM,解决了公有云环境中如下两个安全问题:

  • 每次的API调用者是否为可信实体
  • 调用API的可信实体是否被授权访问资源

认证授权模型

所有ChinaC云资源的身份认证和权限控制都是都是基于AccessKey/SecretKey的签名认证模型。例如,当用户想以个人身份向COS发送请求时,该模型开始运转:

  1. 首先将发送的请求按照COS指定的格式生成待签名字符串;
  2. 使用SecretKey对待签名字符串进行签名;
  3. COS收到请求后,将签名信息发送至CIAM服务,请求身份验证和权限鉴别;
  4. CIAM通过AccessKey找到对应SecretKey,以同样方法提取签名字符串和验证码;
  5. 如果4计算出来的验证码和请求的一样即认为该请求合法,验证通过;
  6. 否则,CIAM返回验证失败错误,COS将给用户返回HTTP 403错误。

CIAM产品功能

CIAM包括下列功能:

  1. 管理CIAM用户及其密钥 —— 可以在根账户下创建并管理子用户及其访问密钥
  2. 管理CIAM用户的访问权限 —— 可以通过为子用户绑定授权策略,来限制用户对指定资源的操作权限
  3. 分组分权管理CIAM用户 —— 可以通过建立用户组,为用户组分配授权策略,将用户加入用户组,来实现便捷的集中赋权和取消授权
  4. 集中控制云资源 —— 可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时,这些实例或数据仍然受您的完全控制。
  5. 统一账单 —— 根账户将收到包括所有CIAM子用户的资源操作所产生的费用的单一账单

使用流程

如何使用CIAM的上述功能,大致分为以下几个步骤:

创建子用户->给子用户授权->子用户使用授权服务