权限让您可以指定和控制对 AWS 服务和资源的访问。要为 IAM 角色授予权限,您可以附加一条指定访问类型、可以执行的操作以及可以操作的资源的策略。
使用 IAM 策略,您可以授予对特定 AWS 服务 API 和资源的访问权限。您还可以定义授予访问权限的特定条件,例如授予对来自特定 AWS 组织的身份的访问权限或通过特定 AWS 服务的访问权限。
通过 IAM 角色,您可以将访问权限委派给用户或 AWS 服务,以便在您的 AWS 账户中操作。来自您的身份提供商或 AWS 服务的用户可以担任角色以获取临时安全凭证,这些凭证可用于在 IAM 角色的账户中发出 AWS 请求。因此,IAM 角色为需要在您的 AWS 账户中执行操作的用户、工作负载和 AWS 服务提供了一种依赖短期凭证的方法。
使用 IAM Roles Anywhere 可以利用由注册证书颁发机构颁发的 X.509 数字证书,帮助在 AWS 外部(例如本地、混合和多云环境)运行的工作负载访问 AWS 资源。借助 IAM Roles Anywhere,您可以获取临时的 AWS 凭证,并使用为您的 AWS 工作负载配置的相同 IAM 角色和策略来访问 AWS 资源。
实现最低权限是一个连续的循环,会随着您需求的发展授予正确的精细权限。 IAM 访问分析器可帮助您在设置、验证和优化权限时简化权限管理。
借助 AWS Organizations,您可以使用服务控制策略(SCP)来建立组织账户中的所有 IAM 用户和角色都要遵守的权限防护机制。无论您是刚刚开始使用 SCP 还是拥有现有的 SCP,都可以使用 IAM 访问分析来帮助您在整个 AWS 组织中自信地约束权限。
基于属性的访问控制 (ABAC) 是一种授权策略,可用于根据用户属性(例如部门、职位和团队名称)创建精细的权限。使用 ABAC,您可以减少在 AWS 账户中创建精细控制所需的不同权限的数量。