AWS Identity and Access Management (IAM)

安全地管理对 AWS 服务和资源的访问

AWS Identity and Access Management (IAM) 使您能够安全地管理对 AWS 服务和资源的访问。您可以使用 IAM 创建和管理 AWS 用户和组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。 

IAM 是 AWS 账户提供的一项功能,因此您无需支付额外费用。只需为您的用户所用的其他 AWS 服务付费。

要开始使用 IAM,或者如果您已注册 AWS,请转至 AWS 管理控制台并开始采用 IAM 最佳实践

AWS IAM 概述(2 分 15 秒)

使用案例

对 AWS 资源进行精细访问控制

借助 IAM,您的用户能够控制对 AWS 服务 API 和特定资源的访问。您也可以使用 IAM 添加特定的条件(例如时间),以控制用户使用 AWS 的方式、其来源 IP 地址、是否使用 SSL,或是否通过多重验证设备进行身份验证。

适用于高特权用户的多重验证

使用 AWS MFA 这项加强用户名称和密码凭证的安全功能来保护您的 AWS 环境,无需额外支付费用。MFA 要求用户通过提供有效的 MFA 代码来证明其真正拥有硬件 MFA 令牌或启用 MFA 的移动设备。

通过 Web 身份提供商管理移动应用程序的访问控制

您可以通过请求临时安全凭证(这些凭证仅可授予对特定 AWS 资源在可配置时限内的访问权限),使您的移动版和基于浏览器的应用程序安全地访问 AWS 资源。

与公司目录集成

通过 IAM,您可以使用您现有的身份验证系统(如 Microsoft Active Directory)向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的联合访问权限。您可以使用任何支持 SAML 2.0身份管理解决方案,也可以使用我们的联合示例(AWS 控制台 SSOAPI 联合)。

工作原理

IAM 可以帮助创建角色和权限

AWS IAM 让您能够:

  • 管理 IAM 用户其访问权限 – 您可以在 IAM 中创建用户,为其分配单独的安全凭证(或称为访问密钥、密码、多重验证设备)或请求临时安全凭证,供用户访问 AWS 服务和资源。您可以管理权限,以控制用户可以执行哪些操作。
  • 管理 IAM 角色其权限 – 您可以在 IAM 中创建角色并管理权限,以便控制承担该角色的实体或 AWS 服务可以执行哪些操作。您也可以定义由哪个实体承担该角色。此外,您可以使用与服务关联的角色向代表您创建与管理 AWS 资源的各种 AWS 服务委派权限。
  • 管理联合身份用户其权限 – 您可以启用联合身份功能,以允许公司中的现有身份 (用户、组和角色) 访问 AWS 管理控制台、调用 AWS API 并访问资源,而无需为各个身份创建 IAM 用户。使用任何支持 SAML 2.0 的身份管理解决方案,或使用我们的联合示例(AWS 控制台 SSOAPI 联合)。

最佳实践

AWS 有一系列最佳实践,可帮助 IT 专业人员和开发人员管理对 AWS 资源的访问。

用户 – 创建单独的用户。

– 利用组来管理权限。

权限 – 授予最低权限。

审核 – 打开 AWS CloudTrail。

密码 – 配置强大的密码策略。

MFA – 为特权用户启用 MFA。

角色 – 将 IAM 角色用于 Amazon EC2 实例。

共享 – 使用 IAM 角色共享访问权限。

轮换 – 定期轮换安全凭证。

条件 – 利用条件进一步限制特权访问。

– 减少或删除根的使用。

AWS re:Invent 2017:GPS:IAM 最佳实践和成为 IAM 忍者 (GPSTEC310)

开始使用 AWS

icon1

注册 AWS 账户

立即享受 AWS 免费套餐
icon2

通过 10 分钟教程来进行学习

通过 简单教程进行探讨和学习。
icon3

开始使用 AWS 进行构建

按照可帮助您启动 AWS 项目的分步指南开始构建。

了解有关 AWS IAM 的更多信息

访问功能页面