AWS Identity and Access Management (IAM)

对 AWS 服务和资源应用精细权限

AWS Identity and Access Management (IAM) 提供涵盖整个 AWS 的精细访问控制。使用 IAM,您可以指定谁以及在哪些条件下可以访问哪些服务和资源。使用 IAM 策略,您可以管理对员工和系统的权限,确保实现最小权限。

IAM 是 AWS 账户提供的一项功能,您无需支付额外费用。要开始使用 IAM,或者如果您已注册 AWS,请转至 AWS 管理控制台

使用案例

使用 IAM,您可以管理员工用户和工作负载的 AWS 权限。对于员工用户,我们建议您使用 AWS Single Sign-On (AWS SSO) 来管理对 AWS 账户的访问和这些账户中的权限。AWS SSO 使您能够更轻松地在整个 AWS 组织中预置和管理 IAM 角色和策略。对于工作负载权限,请使用 IAM 角色和策略,并只将所需的权限授予您的工作负载。

应用精细访问控制

使用 IAM 策略授予对特定 AWS 服务 API 和资源的访问权限。您还可以定义授予访问权限的特定条件,例如授予对来自特定 AWS 组织的身份的访问权限或通过特定 AWS 服务的访问权限。 

在您的 AWS 组织中建立权限防护机制和数据边界

借助 AWS Organizations,您可以使用服务控制策略 (SCP) 来建立组织账户中的所有 IAM 用户和角色都要遵守的权限防护机制。无论您是刚刚开始使用 SCP 还是拥有现有的 SCP,您都可以使用 IAM 访问顾问来帮助您自信地约束权限。

通过 IAM 访问分析器实现最小权限

实现最小权限是一个连续的循环,会随着您需求的发展授予正确的精细权限。 IAM 访问分析器可帮助您在设置、验证和优化权限时简化权限管理。

使用 ABAC 自动扩展精细权限

基于属性的访问控制 (ABAC) 是一种授权策略,可用于根据用户属性(例如部门、职位和团队名称)创建精细权限。使用 ABAC,您可以减少在 AWS 账户中创建精细控制所需的不同权限的数量。

工作原理

使用 IAM,您可以通过指定精细权限来定义谁可以访问什么内容。然后,IAM 会对每个请求强制实施这些权限。默认情况下拒绝访问,仅当指定权限为“允许”时才授予访问权限。 

展示 IAM 工作原理的图像

了解有关 IAM 的更多信息

访问 IAM 功能页面