Используя сервис AWS Identity and Access Management (IAM), можно управлять разрешениями и доступом пользователя к сервисам и ресурсам AWS. Также с его помощью вы можете управлять разрешениями для своих пользователей и приложений, использовать федерации удостоверений для управления доступом к аккаунту AWS и анализировать доступ к ресурсам и сервисам.
Усиленная безопасность
Сервис IAM реализует лучшие рекомендации по безопасности, позволяя назначить пользователям и группам уникальные учетные данные, определяющие, к каким ресурсам и API сервисов AWS они могут получить доступ. IAM является безопасным по умолчанию; не имея явно назначенных разрешений, пользователи не смогут получить доступ к ресурсам AWS.
Детальное управление
IAM обеспечивает детализированное управление доступом пользователя к отдельным сервисам и ресурсам AWS с помощью разрешений. В качестве примера можно привести останов инстансов EC2 и чтение содержимого корзины Amazon S3.
Временные данные, подтверждающие права доступа
Помимо определения прав доступа непосредственно пользователям и группам, IAM позволяет создавать роли. С помощью роли можно задать набор разрешений, а затем применить его к аутентифицированным пользователям или инстансам EC2, предоставив им временный доступ к указанным ресурсам, что в свою очередь повысит безопасность использования.
Анализ прав доступа
С помощью IAM вы сможете анализировать права доступа к сервисам среды AWS. Команды по обеспечению безопасности и администраторы могут использовать инструмент IAM Access Analyzer, чтобы определить ресурсы, к которым может получить доступ пользователь без аккаунта AWS. Например, вы можете проверить публичные или межаккаунтные права доступа, предоставляемые с помощью правил, к корзинам Amazon S3, ключам KMS AWS, очередям Amazon SQS, ролям IAM и функциям AWS Lambda. Кроме того, IAM ставит на каждый свой объект отметку последнего времени использования, чтобы помочь вам легко идентифицировать и удалять неиспользуемые разрешения.
Гибкое управление данными, подтверждающими права доступа
IAM допускает различные методы аутентификации пользователей в зависимости от того, как они будут использовать сервисы AWS. Можно задать ряд данных, подтверждающих данные для доступа, включая пароли, пары ключей и сертификаты X.509. Для пользователей Консоли управления AWS или API AWS можно также реализовать многофакторную аутентификацию (MFA).
Использование внешних систем управления удостоверениями
При назначении пользователям и приложениям прав доступа к Консоли управления AWS и API сервиса AWS система AWS IAM может использовать существующие системы управления удостоверениями. Сервис AWS поддерживает федерацию от корпоративных систем, таких как Microsoft Active Directory, а также от поставщиков стандартизированных удостоверений.
Естественная интеграция в сервисы AWS
IAM интегрирован в большинство сервисов AWS. Поэтому изменения, внесенные с помощью Консоли управления AWS в одном из сервисов, будут действовать в пределах всей среды AWS.
Надлежащее использование и ограничения
Использование данного сервиса регламентируется пользовательским соглашением Amazon Web Services.
Начать работу с AWS IAM