在 2023 年第 2 季度的《Forrester Wave™:基础架构即服务 (IaaS) 平台原生安全性》报告中,Forrester 将 Google 评为业界领导者。访问报告

Identity and Access Management (IAM)

精细的访问权限控制和透明的信息,帮助您集中管理云端资源。

查看此产品的文档

图示:一位女性坐在具有 Cloud IAM 图标的云的前方,她的前面是一个连接到手机、笔记本电脑和平板电脑的键盘

企业级访问权限控制

借助 Identity and Access Management (IAM),管理员可以授权哪些人员能够对特定资源执行操作,让您可以完全掌控并清楚了解全局,从而集中管理 Google Cloud 资源。如果您的企业拥有复杂的组织结构、数以百计的工作组以及许多项目,IAM 可让您集中了解整个企业的安全政策,并提供内置审计功能来简化合规流程。
显示数据并带有“刷新”图标的计算机显示器的图示

简洁至上

我们知道,组织的内部结构和政策可能很快就会变得非常复杂。项目、工作小组以及授权的管理都在不断变化。IAM 的设计始终注重简洁性:它采用清晰整洁的通用界面,使您能以一致的方式管理所有 Google Cloud Platform 资源的访问权限。因此,您只需学习一次,便可处处得心应手。

显示项目符号列表的显示器的图示:4 个中有 3 个为蓝色对勾标记,而第二个为红色 X。一个女性面部的圆形图片悬浮在左上角,锁上的挂锁图标悬浮在右下角

适当的角色

IAM 提供了可用于管理资源权限的各种工具,操作简单,自动化程度高。您可以将公司中的工作职责映射至多个群组和角色。用户只会获得其工作所需资源的访问权限,并且管理员可以轻松地为整个群组的用户授予默认权限。

显示折线图的显示器的图示,显示器后面有云的轮廓和开发者工具图标

智能访问权限控制

权限管理任务可能会耗费大量时间。Recommender 使用机器学习提供智能的访问权限控制建议,帮助管理员移除对 Google Cloud 资源的不必要访问权限。有了 Recommender,安全团队可以自动检测到过于宽松的访问权限,并根据组织中的相似用户及其访问模式进行合理调整。

一个男性位于一组联网线条的中心的图示,这些线条连接到互联网设备、安全以及地图图钉

利用“情境感知访问权限”实现精细控制

IAM 使您能够以更精细的级别(远低于项目层级)授予对云端资源的访问权限。根据设备安全状态、IP 地址、资源类型和日期/时间等特性创建更精细的资源访问权限控制政策。这些政策有助于确保在授予对云端资源的访问权限时落实适当的安全控制措施。

显示文本列表的计算机显示器的图示,计算机前面有一个剪贴板

内置审计跟踪,简化合规流程

系统会自动为您的管理员提供权限授予、移除和委派操作的完整审计跟踪记录。IAM 使您可以重点关注资源方面的业务政策,轻松满足合规性要求。

文本灰显并锁住的计算机显示器的图示。显示器顶部的中间显示男性面部图片,周围是以虚线连接的 Gmail、Google 云端硬盘、Google 文档及其他图标组成的半圆

企业身份管理轻而易举

利用 Google Cloud 内置的代管式身份服务 Cloud Identity,可轻松创建用户账号或在多个应用和项目间同步。您可以直接通过 Google 管理控制台轻松预配和管理用户与群组、设置单点登录以及配置双重身份验证 (2FA)。您还可以访问 Google Cloud 组织,从而通过 Resource Manager 集中管理项目。

用于对用户进行身份验证和授权的员工身份联合架构。

员工身份联合

借助员工身份联合,您可以使用外部身份提供方 (IdP) 通过 IAM 对员工(一组用户,例如员工、合作伙伴和承包商)进行身份验证和授权,以便用户能够访问 Google Cloud 服务。员工身份联合功能使用身份联合方法而不是目录同步,因此无需在多个平台上维护单独的身份。

特性

单一访问权限控制界面

IAM 为所有 Google Cloud Platform 服务提供简单且一致的访问权限控制界面。您只需要掌握一种访问权限控制界面,即可得心应手地管理所有 Google Cloud 资源。

精细的控制

实现资源级访问权限精细控制,而非仅仅在项目级层。例如,您可以创建一项 IAM 访问权限控制政策,向某位用户授予某个特定 Pub/Sub 主题的 Subscriber 角色。

自动提供访问权限控制建议

利用智能访问权限控制建议,取消对 Google Cloud 资源不必要的访问权限。利用 Recommender,您可以自动检测到过于宽松的访问权限,并根据组织中的相似用户及其访问模式进行合理调整。

情境感知访问权限

根据设备安全状态、IP 地址、资源类型和日期/时间等情境特性控制对资源的访问权限。

灵活的角色

在 IAM 问世之前,您只能为用户授予 Owner、Editor 或 Viewer 角色。现在,大量的服务和资源都提供开箱即用的其他 IAM 角色。例如,除了 Owner、Editor 和 Viewer 角色以外,Pub/Sub 服务还提供 Publisher 和 Subscriber 角色。

网页界面、编程和命令行访问

使用 Google Cloud 控制台、IAM 方法和 gcloud 命令行工具创建和管理 IAM 政策。

内置审计跟踪

为了方便您的组织管理合规性流程,我们为管理员提供了全面的审计跟踪功能,无需其另行费时整理。

支持 Cloud Identity

IAM 支持标准 Google 账号。借助 Cloud Identity,您可以创建 IAM 政策来向 Google 群组Google 托管的网域服务账号或特定 Google 账号持有者授予权限。通过 Google 管理控制台集中管理用户和群组。

免费

所有 Google Cloud 客户均无需额外付费即可使用 IAM。您只需支付其他 Google Cloud 服务的使用费。如需了解其他 Google Cloud 服务的价格,请使用 Google Cloud 价格计算器

Snapchat 徽标

“IAM 让 Snapchat 可以精细控制项目资源的访问权限。这使我们能够根据工作小组划分访问权限,并围绕每个人的访问需求管理敏感资源。

Subhash Sankuratripati,Snapchat 安全工程师

价格

IAM 可供您免费使用。

更进一步

获享 $300 赠金以及 20 多种提供“始终免费”用量的产品,开始在 Google Cloud 上构建项目。

不知从何入手,需要一点帮助?
与值得信赖的合作伙伴携手

更进一步

开始您的下一个项目,尝试交互式教程并管理您的账号。

不知从何入手,需要一点帮助?
与值得信赖的合作伙伴携手
了解相关技巧和最佳实践

此页所列的某项产品或功能目前为 Beta 版。详细了解产品发布阶段