存取(access)即使用(use)，因此有誰用什麼東西的概念。主動方(主詞)叫主體(subject)，被用的資源是被動方(受詞)，稱為客體(object)。
主體存取客體的整個過稱必須受到管制(control)，不能為所欲為，因此才有存取控制的議題。
上圖展示了存取控制的不同情境(contexts)或類型。例如：網路線如何使用、網路如何連接(區域及遠端)、電腦上的程式如何存取資源、進出建物的門禁，以及園區周邊的管制等。
WUSON的CISSP課程介紹Domain 5時，主要鎖定在電腦系統上的存取控制，也就是所謂的技術類或邏輯類的存取控制。

定義

電腦系統上的存取控制是指：

主體對於客體的存取行為，必須受到安全核心(Security Kernel)的3A管制。

3A是指驗證身份(Authentication)、檢查授權(Authorization)與記錄行為(Accounting)。然而要進行3A管制必須先有身份(idenity)才行。因此，存取控制的口訣為 I+3A。

安全核心是美國國防部橘皮書(TCSEC)的用語，一般人比較不會用這個名詞。簡單的說，安全核心是一台電腦系統中，負責存取控制的元件。值得注意的是，安全核心是一個軟體、韌體及硬體總成的概念，不是單指軟體、韌體或硬體。以下是NIST對於安全核心的定義：

Hardware, firmware, and software elements of a trusted computing base implementing the reference monitor concept. Security kernel must mediate all accesses, be protected from modification, and be verifiable as correct.

基本用語

身份只是用來唯一識別(uniquely identity)一個實體(entity)的屬性(attribute)。
實體是指實際存在且可以唯一識別的個體。一個實體通常擁有多個屬性，並且具備一或多個身份。
屬性是用來描述實體特色或性質的資料項目。
帳號(account)是代表實體的技術手段，因此帳號與實體密不可分。
身份用來唯一識別實體，因此管理身份就是管理實體。然而不論身份管理或實體管理，實務上都是透過帳號管理來實現。

身份管理 (Identity Management)

帳號管理從技術的角度來看，就是進行帳號的新增、查詢、修改及刪除(CRUD)等動作。
專門存放帳號的資料庫稱作目錄(directory)。
服務(service)即程式，負責管理目錄的程式就程為目錄服務。
儲存在目錄的帳號可以用X.500的表示法來表達它儲存的位置。
程式可以透過LDAP來要對目錄進行CRUD等動作。
提供目錄服務的Server也可稱為身份提供者(IdP, Identity Provider)。

零信任

WUSON CISSP的課程將零信任(Zero Trust)定位為Access Control 2.0, 也就是：

以資料為中心劃定虛擬邊界，進行更細膩/粒、更動態、更透明的存取控制。

資料來源：https://wentzwu.medium.com/%E5%AD%98%E5%8F%96%E6%8E%A7%E5%88%B6%E7%9A%84-%E5%9F%BA%E6%9C%AC%E7%94%A8%E8%AA%9E-cf9f94d29f28

PS:此文章經過作者同意刊登並且授權可以翻譯成中文