Forrester 在 2023 年第 2 季的《The Forrester Wave™: Infrastructure as a Service (IaaS) Platform Native Security》(The Forrester Wave™:基礎架構式服務 (IaaS) 平台原生安全性) 報告中,將 Google 評選為領導品牌。歡迎索取報告

Identity and Access Management (IAM)

精確控管及查看存取權設定,有效集中管理雲端資源。

查看這項產品的說明文件

插圖:一名女性坐在帶有 Cloud IAM 圖示的雲朵前方,她正前方的鍵盤透過網路連線至手機、筆電和平板電腦

企業級存取權控管機制

有了 Identity and Access Management (IAM),管理員就能授權哪些使用者可以對特定資源執行操作,方便機構完整控管並掌握存取權設定,有效集中管理 Google Cloud 資源。如果企業的組織架構複雜、工作小組多達數百個,且有大量專案需要處理,可以透過 Cloud IAM 集中檢視機構整體的安全政策,並借助內建的稽核功能簡化法規遵循程序。
插圖:電腦螢幕上顯示許多資料,旁邊是「重新整理」圖示

簡易至上

我們瞭解,組織內部的結構與政策往往很快就會複雜化,專案、工作小組和職務權限的管理作業均瞬息萬變。IAM 秉持簡易至上的設計原則,採用簡潔的通用介面,方便您統一控管所有 Google Cloud 資源的存取權。只要學過一次,就能運用在所有地方。

插圖:螢幕上顯示一份標有項目符號的清單,當中共有 4 個項目,其中 3 個有藍色勾號,第 2 項則打上紅色叉號。螢幕左上方有女性臉孔的圓形圖片,右下方則顯示上鎖的鎖頭。

依角色賦予存取權

IAM 提供資源權限管理工具,並具備簡潔和高度自動化的特性,可將公司內部的職務對應至相關的群組與角色。使用者只會取得完成工作所需的存取權,管理員也能輕鬆將預設權限授予整個使用者群組。

插圖:螢幕上顯示直線圖,後方為雲朵輪廓和開發人員工具圖示

智慧型存取權控管

權限管理是一項非常耗時的工作。IAM 具備建議工具,能利用機器學習技術提供智慧型存取權控管建議,協助管理員移除不必要的 Google Cloud 資源存取權。有了建議工具,安全團隊就能自動偵測出過於寬鬆的存取權,然後依機構中的類似使用者和其存取模式,將存取權調整到最適合的狀態。

插圖中的聯網裝置、安全防護機制與地圖圖釘透過網路互相串連,一名男子的大頭照位在正中央

善用情境感知存取權實現精細控管

IAM 的雲端資源授權機制相當精細,程度遠勝專案層級的存取權。您也可以根據裝置安全性狀態、IP 位址、資源類型和日期/時間等屬性,為資源建立更精細的存取權控管政策。當您授予雲端資源的存取權時,這些政策可確保您採用合適的安全性控管機制。

插圖:電腦螢幕上顯示一份文字清單,前方則有剪貼簿

透過內建稽核追蹤功能簡化法規遵循工作

IAM 會自動向管理員顯示授予、撤銷及指派權限的完整稽核追蹤記錄,您可以專心處理與資源相關的公司政策,並減輕法規遵循方面的負擔。

插圖:電腦螢幕上的文字顯示為灰色,並且已鎖定。螢幕中央頂端處有一張男性臉孔的圖片,周圍是以虛線連接而成的半圓形,串連 Gmail、Google 雲端硬碟、Google 文件等圖示

輕鬆管理企業身分

只要利用 Google Cloud 內建的代管式身分識別服務 Cloud Identity,就能在所有應用程式與專案中輕鬆建立或同步處理使用者帳戶。透過這項服務,您能直接在 Google 管理控制台中輕鬆佈建及管理使用者和群組、設定單一登入功能和雙重驗證機制 (2FA)。另外,您也能存取 Google Cloud 機構,透過 Resource Manager 集中管理專案。

可驗證與授權使用者的員工身分聯盟架構。

員工身分聯盟

有了員工身分聯盟功能,您就能在外部識別資訊提供者 (IdP) 的協助下,使用 IAM 驗證及授權員工、合作夥伴與承包商等使用者群組,方便使用者存取 Google Cloud 服務。員工身分聯盟採用身分聯盟方法,而不是目錄同步處理機制,因此無須在多個平台中管理不同身分。

功能與特色

單一存取權控管介面

IAM 提供簡單一致的存取權控管介面,供您輕鬆管理所有 Google Cloud 服務。只要學會使用一種存取權控管介面,就能應用到所有 Google Cloud 資源上。

精細的控管機制

您可以在資源層級為使用者設定精細的存取權限,而不只是專案層級。舉例來說,您可以建立 IAM 存取權控管政策,將「訂閱者」角色授予特定 Pub/Sub 主題的使用者。

自動化存取權控管建議

您可以參考智慧型存取權控管建議,移除不必要的 Google Cloud 資源存取權。有了建議工具,系統就能自動偵測出過於寬鬆的存取權,然後依機構中的類似使用者和其存取模式,將存取權調整到最適合的狀態。

情境感知存取權

您可以根據裝置安全性狀態、IP 位址、資源類型和日期/時間等情境屬性,控管資源的存取權限。

富有彈性的角色設定

在採用 IAM 前,您只能授予使用者「擁有者」、「編輯者」或「檢視者」角色。不過,如今有許多服務和資源需要新的 IAM 角色。舉例來說,在 Pub/Sub 服務中,除了原先的「擁有者」、「編輯者」和「檢視者」角色外,「發布者」與「訂閱者」也相當重要。

透過網頁、程式與指令列存取

您可以使用 Google Cloud 控制台、IAM 方法和 gcloud 指令列工具來建立及管理 IAM 政策。

內建稽核追蹤功能

管理員無須進行額外設定即可取得完整的稽核追蹤記錄,以便簡化貴機構的法規遵循程序。

支援 Cloud Identity

IAM 支援標準 Google 帳戶。您可以使用 Cloud Identity 建立 IAM 政策,將權限授予 Google 群組由 Google 代管的網域服務帳戶,或是特定的 Google 帳戶持有人。您也能透過 Google 管理控制台,集中管理使用者與群組。

無須支付費用

所有 Google Cloud 客戶不必支付額外費用,即可使用 IAM。您只需要支付其他 Google Cloud 服務的使用費。如要瞭解其他 Google Cloud 服務的定價,請使用 Google Cloud Pricing Calculator

Snapchat 標誌

「IAM 幫助 Snapchat 精細掌控專案內資源的存取權限設定,方便我們根據工作團隊劃分存取權,並依照個別存取需求管理機密資源。」

Snapchat 資安工程師 Subhash Sankuratripati

定價

IAM 為免費服務,無須額外付費。

後續行動

運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構產品與服務。

需要入門協助嗎?
與值得信賴的夥伴合作
繼續瀏覽

後續行動

展開下一項專案、探索互動式教學課程及管理帳戶。

需要入門協助嗎?
與值得信賴的夥伴合作
查看提示和最佳做法

本頁所列的產品或功能仍為 Beta 版。進一步瞭解產品推出階段