京东云：智能城市白皮书2019（89页）.pdf

1、有效的身份认证与访问控制是确保用户数据不被非授权访问的关键，同时促进合法用户的可用性。这些技术包括认证机制，数据和资源访问控制，供应系统和用户账户管理。对于云平台自身，京东云构建了基于内控要求的账号与授权管理系统和员工身份识别机制。对于用户，京东云提供了身份管理与访问控制服务(IAM)。云平台身份与访问控制京东云结合自动化的运营管理机制，统一的云安全运维规范，所有对产品的运维操作都受到严密的权限控制和监控。云平台帐号的权限分配遵循“权限明确、职责分离、最小特权”的原则。一个帐号对应一个用户，而一个帐号拥有的权限是由其被赋于的岗位角色所决定的，按照角色或用户组进行授权。结合人工和静态扫描技术，对

2、现有账号情况进行详细梳理,梳理结果形成账号和权限基线，通过扫描技术对所有账号及权限进行变化监控。用户身份与访问控制用户可以通过身份管理与访问控制(IAM)服务创建、管理子用户账号，并控制这些子用户访问京东云资源的权限。使用访问控制，用户可以向他人授权管理账户中的资源，而不必共享账户密码或访问密钥,按需为用户分配最小粒度的操作权限，从而降低主账号的信息安全风险。集中管理IAM子用户及其安全凭证:在访问控制中创建子用户，可以控制子用户的控制台登录或者Open API访问权限，进行统一的虚拟MFA认证,操作保护和访问密钥(AK/SK)管理。对云资源进行精细访问控制:为每个用户或用户组绑定一个或多个权限策略，限制用户对特定资源的特定操作权限，也可以使用IAM添加特定的条件，以控制用户是否在特定的时间，特定的源IP地址，是否使用SSL，是否通过虚拟MFA设备进行身份验证等。集中管理用户角色和服务角色:用户可以在IAM中创建角色并管理权限，以便控制扮演该角色的子用户或服务可以执行哪些操作。也可以定义有哪个子用户扮演该角色，也可以使用服务角色或者服务相关角色，指定相应的服务扮演该角色，代表管理和操作云的其他资源。