AWS Identity and Access Management (IAM) 可使您对 AWS 服务和资源的访问和权限进行控制。 借助 IAM,您可以管理用户和应用程序的权限,使用联合身份来管理对 AWS 账户的访问,并分析对资源和服务的访问。
增强安全性
IAM 允许您将唯一安全证书授予各个用户和组,并指定他们可以访问的 AWS 服务 API 和资源,实现最佳的安全性实践。IAM 默认状态下启用安全保护;用户只有被明确授予了权限,才能访问 AWS 资源。
精确控制
IAM 让您能够使用权限精确控制用户对特定 AWS 服务和资源的访问权限。例如,终止 EC2 实例或读取 Amazon S3 存储桶中的内容。
临时凭证
除了直接给用户和组分配访问权限外,IAM 还允许您创建角色。您可以通过角色定义一组权限,然后让通过验证的用户或 EC2 实例承担这些角色,通过授予对您定义资源的临时访问权限改善安全状况。
分析访问
IAM 可帮助您分析整个 AWS 环境中的访问。您的安全团队和管理员可以使用 IAM 访问分析器来辨识可以从 AWS 账户外部访问的资源。例如,您可以使用针对您的 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、IAM 角色和 AWS Lambda 函数的策略验证所分配的公共和跨账户权限。另外,IAM 通过为您提供 IAM 实体上次使用服务时间的时间戳,可以帮助您轻松识别和删除不使用的权限。
灵活的安全证书管理
IAM 支持以数种方式验证用户,具体取决于他们要如何使用 AWS 服务。您可以指定一组安全证书,包括密码、密钥对和 X.509 证书。您也可以对访问 AWS 管理控制台或使用 API 的用户强制实施 Multi-Factor Authentication (MFA)。
利用外部身份验证系统
您可以使用 IAM 来用您的现有身份系统向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的访问权限。 AWS 支持从公司系统(如 Microsoft Active Directory)以及基于标准的身份提供商进行联合。
无缝集成到 AWS 服务
IAM 集成到大多数 AWS 服务中。这使您能够在 AWS 管理控制台中的一个位置定义访问控制权,后者将在您的整个 AWS 环境中生效。
预期用途和限制
您对本服务的使用受 Amazon Web Services 客户协议的约束。
AWS IAM 入门