1、说明ChinaC Identity and Access Management (CIAM) ,ChinaC身份和访问控制管理系统,实现用户的身份认证和资源访问控制。通过CIAM,解决了公有云环境中如下两个安全问题:· 每次的API调用者是否为可信实体· 调用API的可信实体是否被授权访问资源
2、认证授权模型所有ChinaC云资源的身份认证和权限控制都是都是基于AccessKey/SecretKey的签名认证模型。例如,当用户想以个人身份向COS发送请求时,该模型开始运转:1. 首先将发送的请求按照COS指定的格式生成待签名字符串;2. 使用SecretKey对待签名字符串进行签名;3. COS收到请求后,将签名信息发送至CIAM服务,请求身份验证和权限鉴别;4. CIAM通过AccessKey找到对应SecretKey,以同样方法提取签名字符串和验证码;5. 如果4计算出来的验证码和请求的一样即认为该请求合法,验证通过;6. 否则,CIAM返回验证失败错误,COS将给用户返回HTTP 403错误。
3、CIAM产品功能CIAM包括下列功能:1. 管理CIAM用户及其密钥 —— 可以在根账户下创建并管理子用户及其访问密钥2. 管理CIAM用户的访问权限 —— 可以通过为子用户绑定授权策略,来限制用户对指定资源的操作权限3. 分组分权管理CIAM用户 —— 可以通过建立用户组,为用户组分配授权策略,将用户加入群组,来实现便捷的集中赋权和取消授权4. 集中控制云资源 —— 可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时,这些实例或数据仍然受您的完全控制。5. 统一账单 —— 根账户将收到包括所有CIAM子用户的资源操作所产生的费用的单一账单
4、使用流程如何使用CIAM的上述功能,大致分为以下几个步骤:创建子用户->创建自定义授权策略->给子用户授权->子用户使用授权服务