D5-01 7–9 分钟 重要程度:高

识别、认证、授权、审计与问责

IAM 的核心顺序是先声明身份、再验证身份、再授权访问,最后通过审计和记账支持问责。

一、必须记住

  • Subject 是主动访问资源的实体;Object 是被访问的资源。
  • Identification 是声明身份。
  • Authentication 是验证身份声明。
  • Authorization 是决定已认证主体能访问什么。
  • Auditing/Accounting 记录活动,可支持 Accountability。
  • 共享账号会破坏可问责性。

二、核心概念

主体与客体

主体可以是用户、进程、服务、计算机或任何主动访问资源的实体;客体是文件、数据库、程序、服务、存储介质等被访问资源。

IAM 顺序

访问控制通常先识别并验证主体,再判断授权,接着授予或拒绝访问,最后监控和记录访问尝试。

问责

问责需要唯一身份、可靠认证、审计记录和不可否认性支持。共享账号或无法追踪的管理账号会削弱问责。

三、CISSP 判断规则

  • 问“你是谁”,选 Identification。
  • 问“证明你是谁”,选 Authentication。
  • 问“你可以做什么”,选 Authorization。
  • 问“事后追踪谁做的”,选 Accountability / Auditing。

四、常见陷阱

  • 认证成功不等于拥有所有权限。
  • 授权应基于已认证身份和策略,而不是只看用户自称身份。
  • 问责不能依赖共享账号。

五、英文关键字

Subject (主体) Object (客体) Identification (身份标识) Authentication (身份认证) Authorization (授权) Auditing (审计) Accounting (记账) Accountability (可问责性) Access control (访问控制)

小测验

1. 用户输入用户名声明自己是谁,属于哪个步骤?

Identification 是主体声明身份。

2. 系统验证密码、令牌或生物特征,属于哪个步骤?

Authentication 用一个或多个因素验证身份声明。

3. 共享管理员账号主要破坏哪项能力?

共享账号无法可靠追踪具体个人行为,破坏可问责性。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成