身份和访问管理（IAM，简称或IdAM）是一种阐述客户身份及其行为权限的方式。它如同夜店门口的安保人员，手握一份名单，清楚哪些人可进入，哪些人不可入，哪些人有权进入VIP区域。IAM也常被称为身份管理（IdM）。

从技术角度而言，IAM代表了一种管理用户数字身份及其相应权限的方法。这是一个涵盖众多具有基本功能相似性的不同产品的总称。在企业内部，IAM可能是一个单一产品，也可能是由多个流程、软件产品、云服务和硬件设备组合而成的复杂系统，从而让管理员能够对个人用户可访问的企业数据进行监控和控制。

在计算环境中，身份又是如何定义的呢？实际上，一个人的所有身份信息并不能全部上传并存储在单台计算机中。在计算环境中，“身份”指的是那些便于以数字化方式测量和记录的资产集。以身份证或护照为例，它们并不存储一个人的全部信息，但包含了足够的个人特征，足以将一个人的身份与其证件迅速对应。

为了验证身份，计算机系统需要评估用户的独特特征。如果这些特征匹配，则可以确认用户的身份。这些特征被称为“身份验证因素”，因为它们帮助确认用户所声称的身份与其真实身份是否一致。

最广泛使用的三大身份验证因素包括：

1. 用户了解的内容：这是一种仅用户本人掌握的私密信息，如用户名和密码。

2. 用户拥有的内容：这指的是授予授权用户的实体令牌，如实体钥匙或智能手机等。

3. 用户身份：这涉及关于某人身体的实体资产，如人脸ID、指纹扫描等。

以John为例，他想要在家查看工作电子邮件。首先，他需要建立自己的身份，登录电子邮件账户。如果John的电子邮件被他人访问，公司的数据将面临风险。

John输入他的电子邮件地址john@company.com，并输入只有他本人知道的密码。由于没有人知道这个密码，电子邮件系统能够识别John的身份，允许他访问账户。如果其他人尝试冒充John，尽管他们知道他的电子邮件地址，但不知道密码，他们将无法成功登录。

总结：在现实世界中，一个人的身份是由其个人特征、历史、地点等因素组成的复杂组合。在数字化世界中，一个人的身份则是由上述三大身份验证因素的部分或全部组成，并以数字化形式存储在身份数据库中。计算机系统通过对比身份数据库来核实用户身份，以防止欺骗者冒充。

什么是访问管理？简而言之，“访问”指的是客户能够查看的数据以及他们在登录后可以执行的操作。例如，John登录电子邮件后，他可以查看自己发送和接收的所有电子邮件，但无法看到同事Tracy的邮件。

尽管用户身份得到验证，并不意味着他们可以访问系统或网络内的任何内容。例如，公司内部职位较低的员工虽然可以访问其公司电子邮件账户，但无法访问工资单记录等机密信息。

访问管理（IAM）在云计算架构中的应用至关重要。在云计算中，数据在互联网上远程存储和访问，用户可以几乎从任何地点和设备上连接。因此，身份成为控制访问的最重要因素，而非网络外围。决定用户可以访问的云数据以及他们是否有权访问的，不是他们的设备或地点，而是他们的身份。

了解IAM为何在云计算中如此重要，可以参考以下内容。假设一名网络罪犯企图访问公司数据中心的敏感文件。在云计算尚未普及的时期，网络罪犯需要绕过公司内部网络的防火墙，或潜入办公楼或贿赂内部员工，从而亲自访问服务器。然而，随着云计算的发展，敏感文件可以存储在远程云服务器中。如果网络罪犯想要访问这些文件，他们需要的是员工的登录凭证和互联网连接，无需绕过网络外围。

IAM有助于防止因特权升级而导致的基于身份的攻击和数据泄露。因此，IAM系统在云计算中至关重要。

在云计算架构中，IAM通常是一个用户达到企业云基础设施其他部分所需要经过的云服务。它也可以部署在企业内部网络现场。对于采用多云或混合云结构的企业，可能需要使用独立供应商的IAM服务。将IAM与其他公共云或私有云服务分离，可以让他们在切换云供应商时依然能够维护其身份和访问其数据库。

标签: 区块链