Управление идентификацией и доступом AWS (IAM)
AWS Identity and Access Management (IAM) обеспечивает точный контроль доступа во всех сервисах AWS. С помощью IAM вы можете указать, кто может получать доступ к определенным сервисам и ресурсам и при каких условиях. Благодаря политикам IAM вы управляете разрешениями для сотрудников и систем, выдавая разрешения с наименьшими привилегиями.
Дополнительная плата за пользование сервисом AWS IAM не взимается. Если вы уже зарегистрированы в AWS, чтобы начать работу с IAM, войдите в Консоль IAM.
Примеры использования
С помощью IAM вы можете управлять разрешениями AWS для сотрудников и рабочих нагрузок. Для сотрудников мы рекомендуем использовать AWS Single Sign-On (AWS SSO), чтобы управлять доступами к аккаунтам AWS и разрешениями в пределах аккаунтов. С AWS SSO можно с легкостью назначать роли и политики IAM и управлять ими в масштабах всей организации. Для рабочих нагрузок используйте роли и политики IAM и выдавайте только необходимые разрешения.
Включите точный контроль доступа
Используя политики IAM, предоставляйте доступ к определенным API сервисов и ресурсам AWS. Вы также можете определить конкретные условия для предоставления доступа, например определенная организация AWS или использование определенного сервиса AWS.
Установите ограничения разрешений и периметры данных во всей организации AWS
Благодаря AWS Organizations вы можете использовать политики управления сервисами (SCP) для установления ограничений разрешений, которым будут соответствовать все пользователи и роли IAM в аккаунтах организации. Также вы можете установить периметр данных, чтобы только доверенные лица могли обращаться к доверенным ресурсам из ожидаемых сетей. Независимо от того, начинаете ли вы работать с SCP или они у вас уже есть, можно использовать консультанта по доступу IAM для того, чтобы уверенно ограничивать разрешения.
Создавайте разрешения с минимальными привилегиями благодаря IAM Access Analyzer
Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. IAM Access Analyzer помогает оптимизировать настройку, проверку и уточнение разрешений.
Автоматически масштабируйте точные разрешения с помощью ABAC
Управление доступом на основе атрибутов (ABAC) – это стратегия авторизации для создания детализированных разрешений на базе пользовательских атрибутов, таких как отдел, рабочая роль и название команды. С помощью ABAC можно сократить количество разрешений, необходимых для точного управления аккаунтом AWS.
Как это работает
Благодаря точным разрешениям IAM вы можете определять, кто получает доступ. Затем IAM применяет эти разрешения к каждому запросу. По умолчанию доступ запрещен и возможен только в том случае, когда выбрано значение «Разрешено»
Подробнее об IAM