阿里云应用身份服务IDaaS提供基于RBAC/ABAC的权限控制。RBAC（基于角色的权限控制）将用户按角色进行归类，通过用户的角色来判断用户对某项资源进行某项操作的权限。例如，A公司管理员维护研发和架构师两个角色，小明入职研发岗位，通过将小明加入研发用户组，小明自动获得研发岗位权限（例如，访问公司Gitlab）。ABAC（基于属性的权限控制）动态计算一个或一组属性，通过判断某种条件，从而完成授权。例如，小强是试用期员工，公司给具有“正式员工”属性的用户分配了CRM权限，小强无法访问进入CRM，但当小强转正后，通过账户属性自动判断小强具有CRM的访问权限。选择使用RBAC/ABAC，需要综合评估组织角色、资源变化、授权规则、管控粒度等。

组织角色∶组织架构和角色越复杂，RBAC需要维护的角色和授权关系就越复杂。

资源变化∶ABAC仅需要维护较少的资源，而RBAC需要维护所有相关的角色。

授权规则∶ABAC支持带有动态参数的授权规则，RBAC只能基于静态的参数进行判断。

管控粒度∶ABAC权限控制的粒度比RBAC更细，属性组合越多，RBAC需要创建的角色就越多。

今天小编就讲到这里，更多请关注我们官网动态。

云熙科技是阿里云精英级代理商，具备专业的企业IT解决方案。为客户提供上云咨询到产品配置、云上解决方案、应用迁移、安全防护、技术支持等全套服务支持。折扣优惠请咨询客服：132 4670 0747（云小二）