AWS Identity and Access Management (IAM)

安全地管理對 AWS 服務和資源的存取

AWS Identity and Access Management (IAM) 可讓您安全地管理對 AWS 服務與資源的存取。您可以使用 IAM 建立和管理 AWS 使用者和群組,並使用各種許可來允許和拒絕他們存取 AWS 資源。

IAM 是 AWS 帳戶的一項功能,並不收取額外費用。您只需支付您的使用者使用其他 AWS 服務的費用。

要開始使用 IAM,或者,如果您已經註冊 AWS,請移至 AWS 管理主控台,從這些 IAM 最佳實務開始使用。 

AWS IAM 概觀影片 (2:15)

使用案例

對 AWS 資源進行精確的存取控制

IAM 讓您的使用者能夠對 AWS 服務 API 和特定資源進行存取權控制。IAM 也可以讓您新增特定的條件,例如,控制使用者如何使用 AWS 的時間、他們的來源 IP 地址、是否使用 SSL,或者是否透過多重驗證裝置進行驗證。

適用於高權限使用者的多重驗證

使用 AWS MFA 保護您的 AWS 環境,這是一種加強使用者名稱和密碼登入資料的安全功能,並不收取其他費用。MFA 要求使用者提供有效的 MFA 代碼,證明實際擁有硬體 MFA 字符或啟用 MFA 的行動裝置。

分析存取

IAM 協助您跨 AWS 環境分析存取。您的安全團隊和管理員可快速驗證您的政策僅向目標大眾和跨帳戶存取您的資源。您也可輕易辨識和精簡您的政策,僅允許存取正在使用的服務。此舉有助您更能謹守最低權限的原則。

與公司目錄整合

您可以使用現有的身份系統 (如 Microsoft Active Directory),利用 IAM 授與員工和應用程式對 AWS 管理主控台和 AWS 服務 API 的聯合存取權。您可以使用任何支援 SAML 2.0身份管理解決方案,或者任意使用我們其中一個聯合範例 (AWS 主控台 SSO API 聯合)。

運作方式

IAM 可協助建立角色和許可

AWS IAM 讓您能夠:

  • 管理 IAM 使用者其存取權 – 您可以在 IAM 中建立使用者,為他們指派個別的安全登入資料 (換句話說,就是存取金鑰、密碼和多重驗證裝置),或請求臨時的安全登入資料,為使用者提供 AWS 服務和資源的存取權。您可以管理許可以控制使用者可執行的操作。
  • 管理 IAM 角色其許可 – 您可以在 IAM 中建立角色和管理許可,以控制擔任該角色的實體或 AWS 服務可執行的操作。您也可以定義允許擔任該角色的實體。此外,您可以使用服務連結角色將許可委派給 AWS 服務,讓它代您建立和管理 AWS 資源。
  • 管理聯合身份使用者其許可 – 您可以啟用聯合身分功能,以允許企業中的現有身份 (使用者、群組和角色) 存取 AWS 管理主控台、呼叫 AWS API 以及存取資源,而不必為每個身份建立 IAM 使用者。您可以使用任何支援 SAML 2.0 的身份管理解決方案,或者使用我們其中一個聯合範例 (AWS 主控台 SSOAPI 聯合)。

最佳實務

AWS 提供一系列最佳實務,協助 IT 專業人員和開發人員管理 AWS 資源存取。

使用者 – 建立個別的使用者。

群組 – 利用群組管理許可。

許可 – 授予最低權限。

稽核 – 開啟 AWS CloudTrail。

密碼 – 配置強式密碼政策。

MFA – 為有特殊權限的使用者啟用 MFA。

角色 – 使用適用於 Amazon EC2 執行個體的 IAM 角色。

共享 – 使用 IAM 角色共享存取。

輪換 – 定期輪換安全登入資料。

條件 – 利用條件進一步限制權限存取。

– 減少或刪除根的使用。

如何在 60 分鐘之內成為 IAM 政策的專家 (55:35)

開始使用 AWS

Step 1 - Sign up for an AWS account

註冊 AWS 帳戶

立即存取 AWS 免費方案
icon2

利用 10 分鐘教學了解

跟著 簡單的教學課程一同探索並學習。
icon3

開始使用 AWS 進行建置

參照逐步操作指南開始建置,協助您啟動 AWS 專案