身份和访问权限管理(通常称为 IAM)是以适当的理由向适当的人员授予对适当资源的访问权限的做法。本系列探讨了 IAM 一般做法以及受其影响的人员,包括:
- 公司身份:您管理的组织员工身份。此类身份用于登录工作站、访问电子邮件或使用公司应用。公司身份还可能包括非员工,例如需要访问公司资源的承包商或合作伙伴。
- 客户身份:您为了使用户能与您的网站或面向客户的应用进行交互而管理的用户身份。
- 服务身份:您为了使应用能与其他应用或底层平台进行交互而管理的身份。
您可能需要授予对以下资源的访问权限:
- Google 服务,例如 Google Cloud、Google Analytics 或 Google Workspace
- Google Cloud 中的资源,例如项目、Cloud Storage 存储分区或虚拟机 (VM)
- 自定义应用或由此类应用管理的资源
本系列中的指南将有关 IAM 的讨论分为以下几个部分:
- 管理公司、客户和服务身份是 IAM 的基础。这些主题对应的是 4、5 和 6 三个绿色框。
- 以身份管理为基础,方框 2 和 3(蓝色)表示访问权限管理主题。这些主题包括管理对 Google 服务的访问权限、对 Google Cloud 资源的访问权限以及对自定义工作负载和应用的访问权限。
- 方框 1(黄色)表示超出了这些指南范围的访问权限管理主题。如需了解 Google Workspace、Google Marketing Platform 和其他服务的访问权限管理,请参阅具体的产品文档。
身份管理
身份管理侧重于以下流程:
- 预配、管理、迁移以及取消配置身份、用户和组。
- 启用对 Google 服务和您的自定义工作负载的安全身份验证。
具体流程和技术因您处理的是公司身份、应用身份还是客户身份而异。
管理公司身份
公司身份是您管理的组织员工身份。员工会使用此类身份登录工作站、访问电子邮件或使用公司应用。
通常,存在以下需求时,需要管理公司身份:
- 维护一个集中位置,管理整个组织内的身份。
- 让员工能够在混合计算环境中跨多个应用使用单一身份和单点登录。
- 对所有员工强制执行政策,例如多重身份验证或密码复杂性。
- 满足您的企业可能适用的合规性标准。
Google Workspace 和 Cloud Identity 是 Google 的产品,可让您满足这些需求并集中管理身份和政策。
如果您在混合云或多云端环境中使用 Google 服务,若要满足这些需求,您可能需要将 Google 的 IAM 功能与外部身份管理解决方案或身份提供商(如 Active Directory)集成。参考架构文档介绍了 Google Workspace 或 Cloud Identity 如何助您实现此类集成。
您的部分员工可能依赖于 Gmail 账号或其他消费者用户账号来访问公司资源。不过,使用这些类型的用户账号可能不符合您的个别需求或政策,因此,您可以将这些用户迁移到 Google Workspace 或 Cloud Identity。如需了解详情,请参阅评估现有用户账号和评估初始配置方案。
如需获取如何采用 Google Workspace 或 Cloud Identity 方面的帮助,请参阅我们的评估和规划指南,了解如何弄清自己的需求以及如何完成采用流程。
管理应用身份
应用身份是您为了使应用能与其他应用或底层平台进行交互而管理的身份。
通常,存在以下需求时,需要管理应用身份:
- 与第三方 API 和身份验证解决方案集成。
- 在混合或多云端场景中跨环境启用身份验证。
- 防止凭据泄露。
Google Cloud 支持您使用 Google Cloud 服务账号和 Kubernetes 服务账号来管理应用身份并满足这些需求。如需详细了解服务账号以及使用这些账号的最佳做法,请参阅了解服务账号。
管理客户身份
客户身份是您为了使用户能与您的网站或面向客户的应用进行交互而管理的用户身份。管理客户身份及其访问权限的过程也称为“客户身份和访问权限管理 (CIAM)”。
通常,存在以下需求时,需要管理客户身份:
- 支持客户注册新账号,但要防止滥用行为,这可能包括检测和阻止创建机器人账号。
- 支持使用社交媒体登录以及与第三方身份提供商集成。
- 支持多重身份验证以及强制实施密码复杂度要求。
Google 的 Identity Platform 支持您管理客户身份并满足这些需求。如需详细了解功能集以及如何将 Identity Platform 与您的自定义应用集成,请参阅 Identity Platform 文档。
访问权限管理
访问权限管理侧重于以下流程:
- 授予或撤消身份对特定资源的访问权限。
- 管理角色和权限。
- 将管理功能委派给可信人员。
- 强制执行访问权限控制。
- 审核由身份进行的访问。
管理对 Google 服务的访问权限
您的组织可能依赖于多种 Google 服务。例如,您可以使用 Google Workspace 进行协作,使用 Google Cloud 部署自定义工作负载,使用 Google Analytics 衡量广告的成功指标。
借助 Google Workspace 或 Cloud Identity,您可以集中控制哪些公司身份可以使用哪些 Google 服务。通过限制对某些服务的访问权限,您可以建立基本的访问权限控制级层。然后,您可以使用各项服务的访问权限管理功能来配置更精细的访问权限控制。
如需了解详情,请参阅如何控制谁可以访问 Google Workspace 和 Google 服务。
管理对 Google Cloud 的访问权限
在 Google Cloud 中,您可以使用 IAM 向公司身份授予对特定资源的精细访问权限。借助 IAM,您可以实现最小权限安全原则,即向这些身份授予权限,使其只能访问您指定的资源。
如需了解详情,请参阅 IAM 文档。
管理对工作负载和应用的访问权限
您的自定义工作负载和应用可能会因其对应的目标受众群体而异:
- 某些工作负载可能是面向公司用户的,例如内部业务线应用、信息中心或内容管理系统。
- 其他应用可能是面向您的客户的,例如您的网站、客户自助服务门户或者移动应用的后端。
管理访问权限、强制执行访问权限控制和审核访问权限的正确方式取决于受众群体以及您部署应用的方式。
如需详细了解如何保护面向公司用户的应用和其他工作负载,请参阅 IAP 文档。
您还可以使用 OAuth 2.0 或 OpenID Connect 等标准协议直接与“使用 Google 账号登录”功能集成。
如需了解如何强制允许访问 API,请参阅 Istio 和 Cloud Endpoints 文档。无论您的应用是面向公司用户还是最终用户,您都可以使用这两种产品。
后续步骤
- 阅读概念部分,了解身份管理的概念和功能。
- 阅读最佳做法部分,了解要在架构或设计中考虑的规范性指南。
- 参阅评估和规划部分,了解如何评估自己的需求并确定合适的设计。