AWS Identity and Access Management (IAM) 可使您对 AWS 服务和资源的访问和权限进行控制。 借助 IAM,您可以管理用户和应用程序的权限,使用联合身份来管理对 AWS 账户的访问,并分析对资源和服务的访问。
增强安全性
IAM 允许您将唯一安全证书授予各个用户和组,并指定他们可以访问的 AWS 服务 API 和资源,实现最佳的安全性实践。IAM 默认状态下启用安全保护;用户只有被明确授予了权限,才能访问 AWS 资源。
精确控制
IAM 让您能够使用权限精确控制用户对特定 AWS 服务和资源的访问权限。例如,终止 EC2 实例或读取 Amazon S3 存储桶中的内容。
临时凭证
除了直接给用户和组分配访问权限外,IAM 还允许您创建角色。您可以通过角色定义一组权限,然后让通过验证的用户或 EC2 实例承担这些角色,通过授予对您定义资源的临时访问权限改善安全状况。
分析访问
IAM 可帮助您分析访问权限并在您的最小权限之旅中为您提供指导。在您编写新策略时,IAM 访问分析器将会检查您的策略并报告可指导行动的推荐,从而指导您设置安全的功能性策略。IAM 访问分析器还可使您在部署权限之前验证对资源的公有访问权限和跨账户访问权限。在您审查现有权限时,IAM 访问分析器可通过综合策略分析和自动推理来帮助您识别和解决意外的公有或跨账户访问。此外,IAM 可帮助您识别和删除未使用过的权限以及最近访问的信息。
灵活的安全证书管理
IAM 支持以数种方式验证用户,具体取决于他们要如何使用 AWS 服务。您可以指定一组安全证书,包括密码、密钥对和 X.509 证书。您也可以对访问 AWS 管理控制台或使用 API 的用户强制实施 Multi-Factor Authentication (MFA)。
利用外部身份验证系统
您可以使用 IAM 来用您的现有身份系统向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的访问权限。 AWS 支持从公司系统(如 Microsoft Active Directory)以及基于标准的身份提供商进行联合。
无缝集成到 AWS 服务
IAM 集成到大多数 AWS 服务中。这使您能够在 AWS 管理控制台中的一个位置定义访问控制权,后者将在您的整个 AWS 环境中生效。
预期用途和限制
您对本服务的使用受 Amazon Web Services 客户协议的约束。
AWS IAM 入门