什么是CIAM?

CIAM 簡介

說明

身份和訪問控制管理系統，實現用戶的身份認證和資源訪問控制。
通過(guo)CIAM，解(jie)決了(le)公有云環境中(zhong)如下兩個安全問題：

• 每次的API調用者是否為可信實體
• 調用API的可信實體是否被授權訪問資源

認證授權模型

所有(you)云資源的身(shen)份(fen)認(ren)證(zheng)和權(quan)限控制都(dou)(dou)是都(dou)(dou)是基(ji)于AccessKey/SecretKey的簽(qian)名(ming)認(ren)證(zheng)模型(xing)(xing)。例如，當用戶想以個人身(shen)份(fen)向COS發送(song)請求時(shi)，該模型(xing)(xing)開(kai)始運轉：

1. 首先將發送的請求按照COS指定的格式生成待簽名字符串；
2. 使用SecretKey對待簽名字符串進行簽名；
3. COS收到請求后，將簽名信息發送至CIAM服務，請求身份驗證和權限鑒別；
4. CIAM通過AccessKey找到對應SecretKey，以同樣方法提取簽名字符串和驗證碼；
5. 如果4計算出來的驗證碼和請求的一樣即認為該請求合法，驗證通過；
6. 否則，CIAM返回驗證失敗錯誤，COS將給用戶返回HTTP 403錯誤。

CIAM產品功能

CIAM包括下列功(gong)能：

1. 管理CIAM用戶及其密鑰 —— 可以在根賬戶下創建并管理子用戶及其訪問密鑰
2. 管理CIAM用戶的訪問權限 —— 可以通過為子用戶綁定授權策略，來限制用戶對指定資源的操作權限
3. 分組分權管理CIAM用戶 —— 可以通過建立用戶組，為用戶組分配授權策略，將用戶加入用戶組，來實現便捷的集中賦權和取消授權
4. 集中控制云資源 —— 可以對用戶創建的實例或數據進行集中控制。當用戶離開您的組織時，這些實例或數據仍然受您的完全控制。
5. 統一賬單 —— 根賬戶將收到包括所有CIAM子用戶的資源操作所產生的費用的單一賬單

使用流程

如何使用CIAM的上述功能，大(da)致分(fen)為(wei)以下幾個步驟：

創(chuang)建子(zi)用戶->給子(zi)用戶授權->子(zi)用戶使用授權服務