AWS Identity and Access Management (IAM) 功能
主要功能
全部打开权限允许您指定和控制对 AWS 服务和资源的访问权限。要为 IAM 角色授予权限,您可以附加一条指定访问类型、可以执行的操作以及可以操作的资源的策略。
使用 IAM 策略,您可以授予对特定 AWS 服务 API 和资源的访问权限。您还可以定义授予访问权限的特定条件,例如授予对来自特定 AWS 组织的身份的访问权限或通过特定 AWS 服务的访问权限。
使用 IAM 角色,您可以将访问权限委托给用户或 AWS 服务,让他们在您的 AWS 账户内运行。来自您的身份提供商或 AWS 服务的用户可以担任角色以获取临时安全凭证,这些凭证可用于在 IAM 角色的账户中发出 AWS 请求。因此,IAM 角色为需要在您的 AWS 账户中执行操作的用户、工作负载和 AWS 服务提供了一种依赖短期凭证的方法。
使用 IAM Roles Anywhere 可以利用由注册证书颁发机构颁发的 X.509 数字证书,帮助在 AWS 外部(例如本地、混合和多云环境)运行的工作负载访问 AWS 资源。借助 IAM Roles Anywhere,您可以获取临时的 AWS 凭证,并使用为您的 AWS 工作负载配置的相同 IAM 角色和策略来访问 AWS 资源。
实现最低权限是一个连续的周期,可以随着需求的变化授予正确的细粒度权限。 IAM 访问分析器可帮助您在设置、验证和优化权限时简化权限管理。
借助 AWS Organization s,您可以使用服务控制策略 (SCP) 和资源控制策略 (RCP) 来建立组织账户中所有委托人和资源都要遵守的权限护栏。您可以使用 SCP 集中控制跨账户的主体(IAM 角色和用户)的访问权限。您可以使用 RCP 集中控制整个组织对 AWS 资源的访问权限。您可以选择仅启用 SCP 或 RCP,或同时使用两种策略类型来帮助实现您的安全目标。
基于属性的访问控制 (ABAC) 是一种授权策略,可用于根据用户属性(例如部门、职位和团队名称)创建精细的权限。使用 ABAC,您可以减少在 AWS 账户中创建精细控制所需的不同权限的数量。
集中管理对 AWS Organizations 中的成员账户的根访问权限,使您能够轻松管理根凭证并执行高特权任务。