Используя сервис AWS Identity and Access Management (IAM), можно управлять разрешениями и доступом пользователя к сервисам и ресурсам AWS. Также с его помощью вы можете управлять разрешениями для своих пользователей и приложений, использовать федерации удостоверений для управления доступом к аккаунту AWS и анализировать доступ к ресурсам и сервисам.
Усиленная безопасность
Сервис IAM реализует лучшие рекомендации по безопасности, позволяя назначить пользователям и группам уникальные учетные данные, определяющие, к каким ресурсам и API сервисов AWS они могут получить доступ. IAM является безопасным по умолчанию; не имея явно назначенных разрешений, пользователи не смогут получить доступ к ресурсам AWS.
Детальное управление
IAM обеспечивает детализированное управление доступом пользователя к отдельным сервисам и ресурсам AWS с помощью разрешений. В качестве примера можно привести останов инстансов EC2 и чтение содержимого корзины Amazon S3.
Временные данные, подтверждающие права доступа
Помимо определения прав доступа непосредственно пользователям и группам, IAM позволяет создавать роли. С помощью роли можно задать набор разрешений, а затем применить его к аутентифицированным пользователям или инстансам EC2, предоставив им временный доступ к указанным ресурсам, что в свою очередь повысит безопасность использования.
Анализ прав доступа
IAM помогает вам анализировать доступ и направляет вас при наличии минимальных привилегий. По мере создания новых политик IAM Access Analyzer проверяет политики и предоставляет практические рекомендации, с помощью которых вы сможете установить безопасные и функциональные политики. Также IAM Access Analyzer позволяет проводить проверку доступа к ресурсам (общего и из разных аккаунтов) перед развертыванием разрешений. При просмотре существующих разрешений IAM Access Analyzer помогает выявлять и устранять непреднамеренный общедоступный доступ или доступ между учетными записями с помощью комплексного анализа политик и автоматического обоснования. Кроме этого, IAM помогает выявлять и удалять неиспользуемые разрешения с помощью информации о последнем доступе.
Гибкое управление данными, подтверждающими права доступа
IAM допускает различные методы аутентификации пользователей в зависимости от того, как они будут использовать сервисы AWS. Можно задать ряд данных, подтверждающих данные для доступа, включая пароли, пары ключей и сертификаты X.509. Для пользователей Консоли управления AWS или API AWS можно также реализовать многофакторную аутентификацию (MFA).
Использование внешних систем управления удостоверениями
При назначении пользователям и приложениям прав доступа к Консоли управления AWS и API сервиса AWS система AWS IAM может использовать существующие системы управления удостоверениями. Сервис AWS поддерживает федерацию от корпоративных систем, таких как Microsoft Active Directory, а также от поставщиков стандартизированных удостоверений.
Естественная интеграция в сервисы AWS
IAM интегрирован в большинство сервисов AWS. Поэтому изменения, внесенные с помощью Консоли управления AWS в одном из сервисов, будут действовать в пределах всей среды AWS.
Надлежащее использование и ограничения
Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.
Начать работу с AWS IAM