คุณสมบัติหลัก

สิทธิ์ช่วยให้คุณระบุและควบคุมการเข้าถึงบริการและทรัพยากรของ AWS ได้ ในการมอบสิทธิ์ให้กับ IAM Role คุณสามารถแนบนโยบายที่ระบุประเภทของการเข้าถึง การดำเนินการที่สามารถทำได้ และทรัพยากรที่สามารถดำเนินการได้

เมื่อใช้นโยบาย IAM คุณจะให้สิทธิ์เข้าถึง API บริการและทรัพยากรของ AWS ที่เฉพาะเจาะจง คุณยังสามารถกำหนดเงื่อนไขเฉพาะว่าจะมอบสิทธิ์เข้าถึงใดได้ เช่น การมอบสิทธิ์เข้าถึงข้อมูลประจำตัวจากองค์กร AWS เฉพาะหรือสิทธิ์เข้าถึงบริการของ AWS เฉพาะ 

ดูเพิ่มเติมเกี่ยวกับการควบคุมสิทธิ์การเข้าถึงแบบละเอียด

บทบาทใน IAMช่วยให้คุณมอบสิทธิ์เข้าถึงให้กับผู้ใช้หรือบริการของ AWS เพื่อดำเนินการภายในบัญชี AWS ของคุณได้ ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวหรือบริการของ AWS สามารถมีบทบาทในการขอรับข้อมูลรับรองความปลอดภัยชั่วคราวที่สามารถนำมาใช้เพื่อขอ AWS ในบัญชี IAM Role ได้ ด้วยเหตุนี้ IAM Role จึงเป็นช่องทางหนึ่งสำหรับข้อมูลประจำตัวระยะสั้นสำหรับผู้ใช้ ปริมาณงาน และบริการของ AWS ที่จำเป็นต้องดำเนินการในบัญชี AWS ของคุณ 

ดูเพิ่มเติมเกี่ยวกับการมอบสิทธิ์เข้าถึงโดยใช้บทบาทใน IAM

ใช้ IAM Roles Anywhere ช่วยให้เวิร์กโหลดที่เรียกใช้งานนอก AWS เช่น สภาพแวดล้อมในองค์กร แบบไฮบริด และแบบมัลติคลาวด์เข้าถึงทรัพยากร AWS ได้โดยใช้ใบรับรองดิจิทัล X.509 ที่ออกโดย Certificate Authorities ที่ลงทะเบียนของคุณ คุณสามารถใช้ IAM Roles Anywhere เพื่อรับข้อมูลประจำตัวชั่วคราวของ AWS และใช้บทบาทและนโยบาย IAM ที่คุณกำหนดค่าเอาไว้สำหรับเวิร์กโหลด AWS ของคุณเพื่อเข้าถึงทรัพยากร AWS ได้

เรียนรู้เพิ่มเติมเกี่ยวกับ IAM Roles Anywhere

การให้สิทธิ์เท่าที่จำเป็นคือวงจรต่อเนื่องในการให้สิทธิ์อนุญาตที่มีการปรับความเหมาะสมโดยละเอียดตามข้อกำหนดของคุณที่เปลี่ยนแปลงไป IAM Access Analyzer ช่วยให้คุณปรับปรุงการจัดการสิทธิ์ระหว่างที่คุณกำหนด ตรวจสอบ และปรับแต่งสิทธิ์

ดูเพิ่มเติมเกี่ยวกับ IAM Access Analyzer

AWS Organizations ช่วยให้คุณสามารถใช้นโยบายควบคุมการบริการ (SCP) เพื่อสร้างกฎควบคุมระบบที่ผู้ใช้และบทบาท IAM ทั้งหมดในบัญชีขององค์กรปฏิบัติตาม ไม่ว่าคุณจะเพิ่งเริ่มบังคับใช้ SCP หรือบังคับใช้ SCP อยู่แล้ว คุณก็สามารถใช้การวิเคราะห์การเข้าถึงของ IAM เพื่อช่วยจำกัดสิทธิ์ได้อย่างมั่นใจทั่วทั้งองค์กร AWS ของคุณ

ดูเพิ่มเติมเกี่ยวกับกฎควบคุมระบบ

การควบคุมการเข้าถึงตามคุณลักษณะ (ABAC) คือ กลยุทธ์การให้สิทธิ์ที่คุณใช้เพื่อสร้างสิทธิ์แบบละเอียดตามคุณลักษณะของผู้ใช้ เช่น แผนก ตำแหน่งงาน และชื่อทีม เมื่อใช้ ABAC คุณสามารถลดจำนวนสิทธิ์ที่แตกต่างกันซึ่งจำเป็นสำหรับการสร้างการควบคุมแบบละเอียดในบัญชี AWS ของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ ABAC