D5-01 7–9 分钟 重要程度:高
识别、认证、授权、审计与问责
IAM 的核心顺序是先声明身份、再验证身份、再授权访问,最后通过审计和记账支持问责。
一、必须记住
- Subject 是主动访问资源的实体;Object 是被访问的资源。
- Identification 是声明身份。
- Authentication 是验证身份声明。
- Authorization 是决定已认证主体能访问什么。
- Auditing/Accounting 记录活动,可支持 Accountability。
- 共享账号会破坏可问责性。
二、核心概念
主体与客体
主体可以是用户、进程、服务、计算机或任何主动访问资源的实体;客体是文件、数据库、程序、服务、存储介质等被访问资源。
IAM 顺序
访问控制通常先识别并验证主体,再判断授权,接着授予或拒绝访问,最后监控和记录访问尝试。
问责
问责需要唯一身份、可靠认证、审计记录和不可否认性支持。共享账号或无法追踪的管理账号会削弱问责。
三、CISSP 判断规则
- 问“你是谁”,选 Identification。
- 问“证明你是谁”,选 Authentication。
- 问“你可以做什么”,选 Authorization。
- 问“事后追踪谁做的”,选 Accountability / Auditing。
四、常见陷阱
- 认证成功不等于拥有所有权限。
- 授权应基于已认证身份和策略,而不是只看用户自称身份。
- 问责不能依赖共享账号。
五、英文关键字
Subject (主体) 定义:主动访问资源的实体,例如用户、进程、服务或设备。 Object (客体) 定义:被主体访问的资源,例如文件、数据库、服务或设备。 Identification (身份标识) 定义:声明自己是谁。 Authentication (身份认证) 定义:验证身份声明是否有效。 Authorization (授权) 定义:决定主体可以访问什么、执行什么操作。 Auditing (审计) 定义:记录和检查主体活动。 Accounting (记账) 定义:记录使用情况并支持追踪。 Accountability (可问责性) 定义:能把行为追溯到唯一主体。
考试判断:共享账号会破坏可问责性。 Access control (访问控制) 定义:决定主体是否能访问客体并执行操作。
考试判断:共享账号会破坏可问责性。 Access control (访问控制) 定义:决定主体是否能访问客体并执行操作。
小测验
1. 用户输入用户名声明自己是谁,属于哪个步骤?
Identification 是主体声明身份。
2. 系统验证密码、令牌或生物特征,属于哪个步骤?
Authentication 用一个或多个因素验证身份声明。
3. 共享管理员账号主要破坏哪项能力?
共享账号无法可靠追踪具体个人行为,破坏可问责性。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成