為了提高安全性并監控用戶對公有云資源，如計算和API的訪問，管理員可以使用聯合身份和訪問管理。

云是具有許多可獨立工作的移動部件的分布式系統。包括存儲和計算系統資源，以及更細粒度的服務，如API。管理員需要跟蹤這些系統中的用戶活動，包括所有基于云的資源的使用率、應用程序和數據庫。此外，他們需要能夠在基于云的系統和本地系統之間聯合安全信息。云計算中的聯合身份和訪問管理有助于實現這一點。

為了幫助你快速認識云身份和訪問管理（IAM）最佳做法，下面將通過一個例子講解。第一步是在云提供商的平臺上創建帳戶。這是你的帳戶，其他用戶也會這樣做。但是，為了提供最佳集成，管理員還需要在其公司內部網絡上驗證公司的其他用戶。然后把本地用戶目錄與公有云提供商平臺中的用戶目錄之間的用用戶身份聯合。

云在IAM系統中的作用

設置用戶身份并在云和本地目錄之間聯合這些身份后，管理員需要管理這些身份，以定義單個用戶和用戶組可以執行的操作。在IAM系統中，組是IAM用戶的集合。

使用組，管理員可以指定用戶集合的權限。這種結構允許他們同時處理和管理整個組，而不是管理每個單獨的用戶。用戶可以屬于許多不同的組，例如會計或公司領導，并且管理員可以向兩個或多個組授予權限。組不能嵌套在IAM系統中 ，也就是說管理員無法在組內添加組。有時有限制，至少在Amazon Web Services（AWS）上，組限制為100個，而每個用戶只能有10個組。

第一次 一定要正確計劃組。有些事情看起來似乎是好的，例如按地理位置對用戶進行分組 ，但這可能需要管理員在將來更改分組，這意味著遷移、重新測試和大量的浪費時間和金錢。所以前期一定要徹底規劃。

所有主要的云提供商，包括AWS、Microsoft和Google，在他們的云服務中都有某種IAM系統。基本模式和聯合功能是相同的。但是，接口和管理員如何使用它們卻不相同。您需要了解每個提供者如何設置IAM系統，包括組。

為IAM系統選擇目錄服務

使用可與您選擇的云提供商集成的內部部署目錄服務很重要。為此，您需要查找使用的標準，例如符合安全聲明標記語言（SAML）的目錄。

以AWS為例，它允許聯合用戶訪問AWS云服務。這允許管理員授予用戶執行AWS中所有任務的權限，當他們已被授予在內部執行的權限。Microsoft還集成了符合SAML的目錄，包括其自己的Active Directory，另外Google也支持SAML。

記住，一直使用你已經使用的IAM方法來測試內部和基于云的系統。確保用戶和組都已得到合適的管理，并明確已授予或未授予IAM系統中配置的訪問權限。