什么是IAM？

AWS Identity and Access Management (IAM) 是一種 Web 服務(wù)，可幫助您安全地控制用戶對(duì) AWS 資源的訪問權(quán)限。通過 IAM 可以控制哪些人可以使用您的 AWS 資源（身份驗(yàn)證）以及他們可以使用的資源和采用的方式（授權(quán)）。

主要功能與特點(diǎn)

Shared access to your AWS account
Granular permissions
Secure access to AWS resources for applications that run on Amazon EC2
Identity federation
Identity information for assurance
PCI DSS Compliance
Integrated with many AWS services
Eventually Consistent
Free to use

基本概念

User

您可以在賬戶中創(chuàng)建與組織中的用戶對(duì)應(yīng)的各 IAM 用戶，而不是與他人共享您的根賬戶憑證。IAM 用戶不是單獨(dú)的賬戶；它們是您賬戶中的用戶。每個(gè)用戶都可以有自己的密碼以用于訪問 AWS 管理控制臺(tái)。您還可以為每個(gè)用戶創(chuàng)建單獨(dú)的訪問密鑰，以便用戶可以發(fā)出編程請(qǐng)求以使用賬戶中的資源。

Group

IAM* 組*是 IAM 用戶的集合。利用組，可為多個(gè)用戶指定權(quán)限，以便更輕松地管理這些用戶的權(quán)限。例如，您可能有一個(gè)名為 Admins 的組，并向該組授予管理員通常需要的權(quán)限類型。該組中的任何用戶均自動(dòng)具有分配給該組的權(quán)限。如果有新用戶加入您的組織，并且需要管理員權(quán)限，則可通過將此用戶添加到組來分配相應(yīng)的權(quán)限。同樣，如果您的組織中有人更換工作，則不必編輯該用戶的權(quán)限，只需從舊組中將其刪除，然后將其添加到合適的新組即可。

Role

IAM 角色 類似于用戶，因?yàn)樗且粋€(gè) AWS 實(shí)體，該實(shí)體具有確定其在 AWS 中可執(zhí)行和不可執(zhí)行的操作的權(quán)限策略。但是，角色旨在讓需要它的任何人代入，而不是唯一地與某個(gè)人員關(guān)聯(lián)。此外，角色沒有任何關(guān)聯(lián)的憑證（密碼或訪問密鑰）。相反，如果將某個(gè)用戶分配給角色，則將動(dòng)態(tài)創(chuàng)建訪問密鑰并將該密鑰提供給用戶。

Temporary Security Credentials

您可以使用 AWS Security Token Service (AWS STS) 創(chuàng)建可控制對(duì)您的 AWS 資源的訪問的臨時(shí)安全憑證，并將這些憑證提供給可信用戶。

典型使用場(chǎng)景

Federating Existing Users

下圖介紹用戶如何使用 IAM 獲取臨時(shí) AWS 安全憑證以訪問您 AWS 賬戶中的資源

Paste_Image.png

訪問控制相關(guān)概念

Permissions

基于身份的 (IAM) 權(quán)限和基于資源的權(quán)限

下圖闡明了兩種權(quán)限類型。第一列顯示與身份（兩個(gè)用戶和兩個(gè)組）關(guān)聯(lián)的權(quán)限。其中一些權(quán)限確定可對(duì)其執(zhí)行操作的特定資源。這些操作支持資源級(jí) 權(quán)限。第二列顯示掛載到資源的權(quán)限。這些服務(wù)支持基于資源的權(quán)限。

Paste_Image.png

Policies

要給用戶、組、角色或資源指定許可，您必須創(chuàng)建一個(gè)策略，它是一個(gè)顯式列出許可的文檔。從最基本的意義上而言，策略使您能夠指定以下內(nèi)容：
操作：您將允許哪些操作。每個(gè) AWS 服務(wù)都有自己的一組操作。例如，您可能允許用戶使用 Amazon S3 ListBucket
操作，它將返回有關(guān)存儲(chǔ)段中項(xiàng)目的信息。任何您沒有顯式允許的操作都將被拒絕。

資源：您允許對(duì)哪些資源執(zhí)行操作。例如，您將允許用戶對(duì)哪些特定 Amazon S3 存儲(chǔ)段執(zhí)行ListBucket
操作？用戶不能訪問任何您沒有顯式授予許可的任何資源。

效果：當(dāng)用戶請(qǐng)求訪問權(quán)限時(shí)將產(chǎn)生什么效果（允許或拒絕）。因?yàn)槟J(rèn)設(shè)置為拒絕用戶訪問資源，因此您通常需要指定您將允許用戶訪問資源。

最佳實(shí)踐

隱藏您的 AWS 賬戶（根）訪問密鑰
創(chuàng)建單獨(dú)的 IAM 用戶
使用組向 IAM 用戶分配權(quán)限
授予最小權(quán)限
為您的用戶配置強(qiáng)密碼策略
為特權(quán)用戶啟用 MFA
針對(duì)在 Amazon EC2 實(shí)例上運(yùn)行的應(yīng)用程序使用角色
通過使用角色而非共享證書來委托訪問
定期交替輪換證書
刪除不需要的證書
使用策略條件來增強(qiáng)安全性
監(jiān)控 AWS 賬戶中的活動(dòng)