Identity and Access Management (IAM)
企業級的存取權控管機制
簡易至上
我們知道機構內部的結構與政策通常很快就會變得相當複雜。專案、工作小組和職務權限的管理作業均瞬息萬變。IAM 秉持簡易至上的設計原則:採用簡潔的通用介面,讓您統一管理所有 Google Cloud 資源的存取權控管工作。只要學過一次,就能運用在所有地方。
依角色賦予存取權
IAM 可提供資源權限管理工具,並具備簡潔和高度自動化的特性,可將公司內部的職務對應至相關的群組與角色。使用者只會取得完成工作所需的存取權限,管理員也能輕鬆將預設權限授予整個使用者群組。
智慧型存取權控管
權限管理是一項非常耗時的工作。 Cloud IAM 具備推薦功能,能利用機器學習技術提供智慧型存取權控管建議,協助管理員移除不必要的 Google Cloud 資源存取權。有了推薦功能,安全團隊可以自動偵測過於寬鬆的存取權,然後根據機構中的類似使用者和其存取模式進行調整。
善用情境感知存取權,達到精細的管理程度
IAM 採用的雲端資源存取權限授予機制非常精細,程度遠勝專案層級的存取權限。您可以依據裝置安全狀態、IP 位址、資源類型和日期/時間等屬性,建立更精細的資源存取權控管政策。您在授予雲端資源的存取權時,這些政策可協助確保您實施的安全性控管機制合適恰當。
透過內建稽核追蹤功能簡化法規遵循
系統會自動向管理員顯示授予、撤銷及指派權限的完整稽核追蹤記錄。IAM 讓您專心處理資源的企業政策,並減輕法規遵循方面的負擔。
輕鬆管理企業身分
只要利用 Google Cloud 內建的代管式身分識別服務 Cloud Identity,就能在所有應用程式與專案中輕鬆建立使用者帳戶,或在應用程式與專案之間同步處理使用者帳戶。透過這項服務,您將能直接透過 Google 管理控制台輕鬆佈建及管理使用者和群組、設定單一登入功能,並啟用雙重驗證機制 (2FA)。您也可以存取 Google Cloud 機構,透過 Resource Manager 集中管理專案。
Workforce 身分識別聯盟
工作團隊身分識別聯盟透過身分與存取權管理功能,可讓您使用外部識別資訊提供者 (IdP) 來驗證並授權一組員工,例如員工、合作夥伴和承包商,讓使用者可以存取 Google Cloud 服務。Workforce 身分識別聯盟採用身分聯盟方法,而非使用目錄同步功能,因此不需要在不同平台中維持不同的身分。
功能與特色
單一存取權控管介面
IAM 提供簡單一致的存取權限控管介面,讓您輕鬆管理所有 Google Cloud 服務。只要學會一種存取權控制介面,就能應用到所有 Google Cloud 資源上。
精細的控管機制
您可以在資源層級為使用者設定精細的存取權限,而不只是專案層級。舉例來說,您可以建立 IAM 存取權控管政策,將「訂閱者」角色授予特定 Cloud Pub/Sub 主題的使用者。
自動化存取權控管建議做法
透過智慧型存取權控管建議移除不必要的 Google Cloud 資源存取權。有了「推薦功能」,就能自動偵測出過於寬鬆的存取權,然後根據機構中的類似使用者及其存取模式進行調整。
情境感知存取權
您可以依據裝置安全性狀態、IP 位址、資源類型和日期/時間等情境屬性,控管資源的存取權限。
富有彈性的角色設定
在採用 IAM 之前,您只能授予使用者「擁有者」、「編輯者」或「檢視者」角色。不過,許多服務和資源如今卻需要新的 IAM 角色。舉例來說,在 Pub/Sub 服務中,除了原先的「擁有者」、「編輯者」和「檢視者」角色之外,「發布者」與「訂閱者」也相當重要。
透過網頁、程式與指令列存取
您可以使用 Google Cloud Console、IAM 方法和 gcloud 指令列工具來建立及管理 IAM 政策。
內建稽核追蹤功能
管理員無須進行額外設定即可取得完整的稽核追蹤記錄,以便簡化貴機構的法規遵循程序。
支援 Cloud Identity
身分與存取權管理支援標準 Google 帳戶。您可以使用 Cloud Identity 建立身分與存取權管理政策,將權限授予 Google 群組、託管於 Google 的網域、服務帳戶或特定的 Google 帳戶持有人。透過 Google 管理控制台,集中管理使用者與群組。
無須支付費用
所有 Google Cloud 客戶不必支付額外費用即可使用 IAM,您只需要支付其他 Google Cloud 服務的使用費。如要查看其他 Google Cloud 服務的定價,請使用 Google Cloud Pricing Calculator。
「IAM 讓 Snapchat 得以精細掌控專案內資源的存取權限設定,因此我們能夠依據工作群組劃分存取權限,並按照個別員工的存取需求管理機密資源。」
Snapchat 資安工程師 Subhash Sankuratripati
技術資源
定價
身分與存取權管理為免費服務,無須額外付費。
運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構產品與服務。
展開下一項專案、探索互動式教學課程及管理帳戶。
本頁所列產品或功能仍為 Beta 版。進一步瞭解產品推出階段。