为了提高安全性并监控用户对公有云资源，如计算和API的访问，管理员可以使用联合身份和访问管理。

云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源，以及更细粒度的服务，如API。管理员需要跟踪这些系统中的用户活动，包括所有基于云的资源的使用率、应用程序和数据库。此外，他们需要能够在基于云的系统和本地系统之间联合安全信息。云计算中的联合身份和访问管理有助于实现这一点。

为了帮助你快速认识云身份和访问管理（IAM）最佳做法，下面将通过一个例子讲解。第一步是在云提供商的平台上创建帐户。这是你的帐户，其他用户也会这样做。但是，为了提供最佳集成，管理员还需要在其公司内部网络上验证公司的其他用户。然后把本地用户目录与公有云提供商平台中的用户目录之间的用用户身份联合。

云在IAM系统中的作用

设置用户身份并在云和本地目录之间联合这些身份后，管理员需要管理这些身份，以定义单个用户和用户组可以执行的操作。在IAM系统中，组是IAM用户的集合。

使用组，管理员可以指定用户集合的权限。这种结构允许他们同时处理和管理整个组，而不是管理每个单独的用户。用户可以属于许多不同的组，例如会计或公司领导，并且管理员可以向两个或多个组授予权限。组不能嵌套在IAM系统中 ，也就是说管理员无法在组内添加组。有时有限制，至少在Amazon Web Services（AWS）上，组限制为100个，而每个用户只能有10个组。

第一次 一定要正确计划组。有些事情看起来似乎是好的，例如按地理位置对用户进行分组 ，但这可能需要管理员在将来更改分组，这意味着迁移、重新测试和大量的浪费时间和金钱。所以前期一定要彻底规划。

所有主要的云提供商，包括AWS、Microsoft和Google，在他们的云服务中都有某种IAM系统。基本模式和联合功能是相同的。但是，接口和管理员如何使用它们却不相同。您需要了解每个提供者如何设置IAM系统，包括组。

为IAM系统选择目录服务

使用可与您选择的云提供商集成的内部部署目录服务很重要。为此，您需要查找使用的标准，例如符合安全声明标记语言（SAML）的目录。

以AWS为例，它允许联合用户访问AWS云服务。这允许管理员授予用户执行AWS中所有任务的权限，当他们已被授予在内部执行的权限。Microsoft还集成了符合SAML的目录，包括其自己的Active Directory，另外Google也支持SAML。

记住，一直使用你已经使用的IAM方法来测试内部和基于云的系统。确保用户和组都已得到合适的管理，并明确已授予或未授予IAM系统中配置的访问权限。