身分與存取權管理總覽

身分與存取權管理 (通常稱為「IAM」) 是一種授權機制,可讓管理人員根據正當的理由,將相關資源的存取權限授予給合適的使用者。本系列探討 IAM 的一般做法及受其約束的人員,包括以下內容:

  • 企業身分:這類身分適用於管理機構員工,可用於登入工作站、存取電子郵件或使用企業應用程式。企業身分可能也包含非員工的身分,例如需要相關權限才能存取企業資源的承包商或合作夥伴。
  • 客戶身分:這類身分可用於管理使用者,讓使用者與網站或客戶專用應用程式互動。
  • 服務身分:這類身分可用於管理應用程式,讓應用程式與其他應用程式或基礎平台互動。

您可能必須授予下列資源的存取權:

  • Google 服務,例如 Google Cloud、Google Analytics (分析) 或 Google Workspace
  • Google Cloud 中的資源,例如專案、Cloud Storage 值區或虛擬機器 (VM)
  • 自訂應用程式或由這類應用程式代管的資源

本系列中的指南將有關身分與存取權管理的討論分為下列幾個部分:

本系列指南的關係圖。

  • 管理企業、客戶和服務身分是身分與存取權管理的基礎,這些主題位於方塊 4、5 和 6 中 (綠色)。
  • 方塊 2 和 3 (藍色) 以身分管理為基礎,代表存取權管理主題。這些主題包括如何管理各項 Google 服務的存取權、Google Cloud 資源的存取權,以及自訂工作負載和應用程式的存取權。
  • 方塊 1 (黃色) 代表其他關於存取權管理的主題,但這些主題不屬於本系列指南的討論範圍。如要進一步瞭解如何管理 Google WorkspaceGoogle Marketing Platform 和其他服務的存取權,請參閱個別產品的說明文件。

身分管理

身分管理著重於下列程序:

  • 佈建、管理、遷移及取消佈建身分、使用者和群組。
  • 為 Google 服務和自訂工作負載啟用安全驗證機制。

這些程序和技術會因您處理企業身分、應用程式身分或客戶身分而異。

管理企業身分

企業身分可用於管理機構員工。員工可利用這類身分來登入工作站、存取電子郵件或使用企業應用程式。

管理企業身分的一般需求如下:

  • 維護用於管理機構內所有身分的單一平台。
  • 讓員工在混合運算環境的多個應用程式中使用單一身分和單一登入服務。
  • 針對全體員工強制實行多重驗證機制或密碼複雜度等政策。
  • 符合您企業可能適用的法規遵循標準。

Google WorkspaceCloud Identity 這兩項 Google 產品可讓您滿足上述需求並集中管理身分和政策。

如果在混合式雲端或多雲端環境中使用 Google 服務,那麼如要滿足上述需求,您可能必須將 Google 的身分與存取權管理功能與外部身分管理解決方案或識別資訊提供者 (例如 Active Directory) 整合。參考架構文件說明了 Google Workspace 或 Cloud Identity 如何讓您實現這類整合作業。

您的部分員工可能使用 Gmail 帳戶或其他一般使用者帳戶來存取企業資源。使用這類使用者帳戶可能不符合您的個別需求或政策,不過您可以將這些使用者遷移至 Google Workspace 或 Cloud Identity。詳情請參閱評估現有使用者帳戶評估新手上路計畫

為了協助您採用 Google Workspace 或 Cloud Identity,請參閱我們的評估和規畫指南來瞭解如何滿足相關需求及採用這些服務。

管理應用程式身分

應用程式身分可用於管理應用程式,讓應用程式與其他應用程式或基礎平台互動。

管理應用程式身分的一般需求如下:

  • 整合第三方 API 和驗證解決方案。
  • 在混合式或多雲端環境中啟用跨環境驗證。
  • 避免憑證外洩。

Google Cloud 可讓您使用 Google Cloud 服務帳戶Kubernetes 服務帳戶來管理應用程式身分及滿足上述需求。如要進一步瞭解服務帳戶及使用服務帳戶時的最佳做法,請參閱瞭解服務帳戶

管理客戶身分

客戶身分可用於管理使用者,讓使用者與網站或客戶專用應用程式互動。管理客戶身分及其存取權又稱為「客戶身分與存取權管理」(CIAM)

管理客戶身分的一般需求如下:

  • 允許客戶申請新帳戶,同時避免濫用行為,例如偵測及封鎖建立機器人帳戶。
  • 支援社群網路登入服務並整合第三方識別資訊提供者。
  • 支援多重驗證機制並強制實行密碼複雜度規定。

Google 的 Identity Platform 可讓您管理客戶身分並滿足上述需求。如要進一步瞭解整體功能以及如何整合 Identity Platform 和自訂應用程式,請參閱 Identity Platform 說明文件

存取權管理

存取權管理著重於下列程序:

  • 為身分授予或撤銷特定資源的存取權。
  • 管理角色與權限。
  • 將管理功能委派給信任的使用者。
  • 強制執行存取權控管。
  • 稽核由身分執行的存取權。

管理 Google 服務的存取權

您的機構可能會使用多項 Google 服務。舉例來說,您可能會透過 Google Workspace 進行協同合作、利用 Google Cloud 部署自訂工作負載,以及使用 Google Analytics (分析) 來評估廣告成效指標。

Google Workspace 或 Cloud Identity 可讓您集中控管哪些企業身分可使用特定 Google 服務。限制特定服務的存取權後,您即可建立初步的存取權控管機制。您隨後可以利用個別服務的存取權管理功能來設定更精細的存取權控管機制。

詳情請參閱如何控管可存取 Google Workspace 和 Google 服務的人員

管理 Google Cloud 的存取權

在 Google Cloud 中,您可以透過身分與存取權管理為企業身分授予精細的特定資源存取權。身分與存取權管理可讓您實行「最低權限」安全性原則,僅將您指定的資源存取權限授予特定身分。

詳情請參閱身分與存取權管理說明文件

管理工作負載和應用程式的存取權

您的自訂工作負載和應用程式可能會因其目標對象而異:

  • 部分工作負載可能專為企業使用者打造,例如內部商務應用程式、資訊主頁或內容管理系統。
  • 其他應用程式則可能以客戶為對象,例如網站、客戶自助式入口網站或行動應用程式後端。

管理存取權、強制執行存取權控管和稽核存取權的正確方式,可能會因目標對象和部署應用程式的方式而異。

如要進一步瞭解如何保護企業使用者專用的應用程式和其他工作負載,請參閱 IAP 說明文件。您也可以利用 OAuth 2.0OpenID Connect 等標準通訊協定來直接整合 Google 登入

如要瞭解如何強制執行 API 存取權,請參閱 IstioCloud Endpoints 說明文件。無論應用程式是以企業使用者或一般使用者為對象,您都可以使用這兩項產品。

後續步驟

  • 如要瞭解身分管理機制的概念與功能,請參閱概念部分。
  • 如要瞭解考量架構或設計時的相關指示,請參閱最佳做法部分。
  • 如要瞭解如何評估自身需求並找出貼近需求的設計,請參閱評估和規畫部分。