使用 IAM 的最佳实践
遵循这些 IAM 最佳实践,帮助使用 IAM 保护您的 AWS 资源。您可以指定谁以及在哪些条件下可以访问哪些 AWS 服务和资源。
文档
此 AWS Security Token Service (AWS STS) 文档描述了让您以编程方式在 AWS 中代入角色的 API 操作。文档还针对支持的 Web 服务协议提供了请求、响应和错误示例。
本指南提供了有关如何使用 IAM Access Anaylzer 识别与外部实体共享的资源、验证 IAM policy 以及根据访问活动生成 IAM policy 的概念性概述。
本指南提供了 IAM Roles Anywhere 的概念性概述,并说明了如何使用它在 IAM 中为服务器、容器和在 AWS 之外运行的应用程序等工作负载获取临时安全凭证。
AWS CLI 命令参考的此 IAM 部分描述了可用于管理 IAM 的 AWS CLI 命令。其中还提供了每个命令的语法、选项和使用示例。
AWS CLI 命令参考文档的 AWS STS 部分描述了可用于生成临时安全凭证的 AWS CLI 命令。其中还提供了每个命令的语法、选项和使用示例。
IAM API 参考详细描述了 IAM 的所有 API 操作。此文档还针对支持的 Web 服务协议提供了请求、响应和错误示例。
研讨会
这个动手实验分为启动带有标签的 EC2 实例、创建 IAM 身份、测试资源访问权限以及为 EC2 实例分配 IAM 角色。
在 CI/CD 管道中集成 IAM Access Analyzer
在本次研讨会中,学习如何使用 IAM Access Analyzer 的策略验证功能、使用 AWS 服务构建 CI/CD 管道,以及如何将 IAM Access Analyzer 策略验证检查整合到您的 CI/CD 管道中。
在研讨会中,您将学习如何利用 IAM Roles Anywhere 通过使用 AWS Key Management Service(AWS KMS)、AWS Secrets Manager 和 AWS Certificate Manager Private CA(ACM Private CA)等 AWS 安全服务来保护您的本地或混合工作负载。
本次研讨会将让您深入了解 AWS IAM Roles Anywhere,并更好地了解如何获得对 AWS 外部工作负载的临时 IAM 凭证的访问权限。
视频
精选博客文章
- 如何大规模监控和查询 IAM 资源 — 第 1 部分
- 如何大规模监控和查询 IAM 资源 — 第 2 部分
- 如何使用策略来限制 EC2 实例凭证的使用位置
- 如何使用 Amazon Quicksight 可视化 IAM Access Analyzer 策略验证结果
- 如何确定 IAM Access Analyzer 结果的优先级
- 使用 IAM Roles Anywhere 将 AWS IAM 角色扩展到 AWS 以外的工作负载
- 如何使用 AWS Private Certificate Authority 短期证书模式
- 使用适用于 OpenTelemetry 的 AWS Distro 和 IAM Roles Anywhere 本地部署将指标提取到 Amazon Managed Service for Prometheus