身份与访问
基于角色的访问控制(RBAC)
别称: RBAC
定义
一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。
基于角色的访问控制将权限赋予抽象的角色(如 "计费管理员" 或 "只读审计员"),通过把用户加入这些角色来授予访问权。这种间接关系简化了管理、支持职责分离,也使审计更便利,因为权限是按角色而非按用户记录的。RBAC 是企业 IAM、云平台(AWS IAM、Azure RBAC、Kubernetes RBAC)以及 ERP 系统的主流模型。其主要缺点是在大型组织、业务粒度极细时会出现 "角色爆炸",因此团队常采用 RBAC 与基于属性的规则结合的混合方案。
示例
- Kubernetes 中允许列出 Pod 的 ClusterRole,绑定到 "sre" 组。
- CI/CD 流水线扮演的 AWS IAM 只读 EC2 角色。
相关术语
基于属性的访问控制(ABAC)
一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。
强制访问控制(MAC)
由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。
自主访问控制(DAC)
由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
授权
在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。