rbac 标签归档

共 4 篇文章 · 返回首页

【身份与访问控制工程】IAM 全景：为什么这是高价值赛道

从 2020 年 SolarWinds 到 2024 年 Okta 支持系统泄露，身份基础设施的安全失败反复证明一件事：IAM 不是 IT 支撑系统，而是安全架构的承重墙。本文建立现代 IAM 的全景地图——从认证协议、令牌体系、权限模型到身份治理与平台选型，给出 5 个贯穿全系列的核心问题。

RBAC 简单但会角色爆炸，ABAC 灵活但策略管理失控时更可怕，ReBAC 表达力强但引入了图遍历的性能约束。三种模型不是'选一个升级另一个'的线性关系，而是在表达能力、管理成本和性能三者之间做工程权衡。本文从每种模型的本质数据结构出发，拆解选型框架。

多租户权限系统是 IAM 中工程复杂度最高的场景之一——每个租户想要自己的角色、自己的组织树、自己的审批流和完全隔离的数据。这四种需求会互相冲突。本文从租户隔离模型出发，拆解四层权限架构、租户级 RBAC 的扩展方案、组织树与数据权限的联动，以及跨租户授权（如第三方服务商访问客户数据）的架构设计。

全面剖析多租户共享存储集群的工程实践——配额管理、QoS 调度、噪音邻居问题、存储级 RBAC、加密隔离与审计日志