身份和访问权限管理概览

身份和访问权限管理 (IAM) 是以适当的理由向适当的人员授予对适当资源的访问权限的做法。本系列探讨了 IAM 以及受其影响的人员,包括:

  • 公司身份:您管理的组织员工身份。此类身份用于登录工作站、访问电子邮件或使用公司应用。公司身份还可能包括非员工身份,例如需要访问公司资源的承包商或合作伙伴身份。
  • 客户身份:您为了使用户能与您的网站或面向客户的应用进行交互而管理的用户身份。
  • 服务身份:您为了使应用能与其他应用或底层平台进行交互而管理的身份。

您可能需要授予对以下资源的访问权限:

  • Google 服务,例如 Google Cloud、Google Analytics(分析)或 G Suite
  • Google Cloud 中的资源,例如项目、Cloud Storage 存储分区或虚拟机 (VM)
  • 自定义应用或由此类应用管理的资源

本系列中的指南将有关 IAM 的讨论分为以下几个部分:

本系列中的指南有何关联。

  • 管理公司、客户和服务身份是 IAM 的基础。这些主题位于下边的三个绿色框中。
  • 以身份管理为基础,深色(蓝色)框表示访问权限管理主题。这些主题包括管理对 Google 服务的访问权限、对 Google Cloud 资源的访问权限以及对自定义工作负载和应用的访问权限。
  • 左上角(浅灰色)框表示超出了这些指南范围的访问权限管理主题。如需了解 G SuiteGoogle Marketing Platform 和其他服务的访问权限管理,请参阅具体的产品文档。

身份管理

身份管理侧重于以下流程:

  • 预配、管理、迁移以及取消配置身份、用户和组。
  • 启用对 Google 服务和您的自定义工作负载的安全身份验证。

具体流程和技术因您处理的是公司身份、应用身份还是客户身份而异。

管理公司身份

公司身份是您管理的组织员工身份。员工会使用此类身份登录工作站、访问电子邮件或使用公司应用。

通常,存在以下需求时,需要管理公司身份:

  • 一直在同一个位置管理整个组织内的身份。
  • 让员工能够在混合计算环境中跨多个应用使用单一身份和单点登录。
  • 对所有员工强制执行多项政策,例如多重身份验证或密码复杂性。
  • 满足您的企业可能适用的合规性标准。

G SuiteCloud Identity 是 Google 的产品,可让您满足这些需求并集中管理身份和政策。

如果您在混合云或多云端环境中使用 Google 服务,若要满足这些需求,您可能需要将 Google 的 IAM 功能与外部身份管理解决方案或身份提供商(如 Active Directory)集成。参考架构文档介绍了 G Suite 或 Cloud Identity 如何助您实现此类集成。

您的部分员工可能依赖于 Gmail 帐号或其他消费者用户帐号来访问公司资源。不过,使用这些类型的用户帐号可能不符合您的独特需求或政策,因此,您可以将这些用户迁移到 G Suite 或 Cloud Identity。如需了解详情,请参阅评估现有用户帐号评估初始配置方案

如需获取如何采用 G Suite 或 Cloud Identity 方面的帮助,请参阅我们的评估和规划指南,了解如何弄清自己的需求以及如何完成采用流程。

管理应用身份

应用身份是您为了使应用能与其他应用或底层平台进行交互而管理的身份。

通常,存在以下需求时,需要管理应用身份:

  • 与第三方 API 和身份验证解决方案集成。
  • 在混合或多云端场景中跨环境启用身份验证。
  • 防止凭据泄露。

Google Cloud 支持您使用 Google Cloud 服务帐号Kubernetes 服务帐号来管理应用身份并满足这些需求。如需详细了解服务帐号以及使用这些帐号的最佳做法,请参阅了解服务帐号

管理客户身份

客户身份是您为了使用户能与您的网站或面向客户的应用进行交互而管理的用户身份。管理客户身份及其访问权限的过程也称为“客户身份和访问权限管理 (CIAM)”。

通常,存在以下需求时,需要管理应用身份:

  • 支持客户注册新帐号,但要防止滥用行为,这可能包括检测和阻止创建聊天机器人帐号。
  • 支持社交登录以及与第三方身份提供商集成。
  • 支持多重身份验证以及强制实施密码复杂度要求。

Google 的 Identity Platform 支持您管理客户身份并满足这些需求。如需详细了解功能集以及如何将 Identity Platform 与您的自定义应用集成,请参阅 Identity Platform 文档

访问权限管理

访问权限管理侧重于以下流程:

  • 授予或撤消对身份的特定资源的访问权限。
  • 管理角色和权限。
  • 将管理功能委派给可信人员。
  • 强制执行访问权限控制。
  • 审核由身份进行的访问。

管理对 Google 服务的访问权限

您的组织可能依赖于多种 Google 服务。例如,您可能会使用 G Suite 进行协作,使用 Google Cloud 部署自定义工作负载,使用 Google Analytics(分析)衡量广告的成功指标。

借助 G Suite 或 Cloud Identity,您可以集中控制哪些公司身份可以使用哪些 Google 服务。通过限制对某些服务的访问权限,您可以建立基本的访问权限控制级层。然后,您可以使用各项服务的访问权限管理功能来配置更精细的访问权限控制。

如需了解详情,请参阅如何控制哪些用户可以访问 G Suite 和 Google 服务

管理对 Google Cloud 的访问权限

在 Google Cloud 中,您可以使用 Cloud IAM 向公司身份授予对特定资源的精细访问权限。借助 Cloud IAM,您可以实现最小权限安全原则,即向这些身份授予权限,使其只能访问您指定的资源。

如需了解详情,请参阅 Cloud IAM 文档

管理对工作负载和应用的访问权限

您的自定义工作负载和应用可能会因其对应的目标受众群体而异:

  • 某些工作负载可能是面向公司用户的,例如内部业务线应用、信息中心或内容管理系统。
  • 其他应用可能是面向您的客户的,例如您的网站、客户自助服务门户或者移动应用的后端。

管理访问权限、强制执行访问权限控制和审核访问权限的正确方式取决于受众群体以及您部署应用的方式。

如需详细了解如何保护面向公司用户的应用和其他工作负载,请参阅 IAP 文档。您还可以使用 OAuth 2.0OpenID Connect 等标准协议直接与 Google 登录功能集成

如需了解如何强制允许访问 API,请参阅 IstioCloud Endpoints 文档。无论您的应用是面向公司用户还是最终用户,您都可以使用这两种产品。

后续步骤

  • 阅读概念部分,了解身份管理的概念和功能。
  • 阅读最佳做法部分,了解要在架构或设计中考虑的指导性指南。
  • 参阅评估和规划部分,了解如何评估自己的需求并确定合适的设计。