AWS Identity and Access Management (IAM)

對 AWS 服務和資源套用精密許可

AWS Identity and Access Management (IAM) 提供跨所有 AWS 的精密存取控制。藉助 IAM,您可以指定誰可以存取哪些服務和資源,以及在何等條件下可以存取。藉助 IAM 政策,您可以管理員工和對系統的許可,以確保履行最低權限原則。

IAM 是 AWS 帳戶的一項功能,並不收取額外費用。若要開始使用 IAM,或者,如果您已經註冊 AWS,請移至 AWS 管理主控台

使用案例

藉助 IAM,您可以管理員工使用者和工作負載的 AWS 許可。對於員工使用者,我們建議您使用 AWS Single Sign-On (AWS SSO) 來管理對 AWS 帳戶的存取以及這些帳戶中的許可。AWS SSO 可讓您更輕鬆地在整個 AWS 組織中佈建和管理 IAM 角色和政策。對於工作負載許可,請使用 IAM 角色和政策,並僅為工作負載授予所需的存取權。

套用精密的存取控制權

使用 IAM 政策授予對特定 AWS 服務 API 和資源的存取權。您也可以定義授予存取權的特定條件,例如授予從特定 AWS 組織存取身分的權限或透過特定 AWS 服務存取。 

在您的整個 AWS 組織中建立許可防護機制和資料邊界

藉由 AWS Organizations,您可以使用服務控制政策 (SCP) 建立組織帳戶中所有 IAM 使用者角色遵循的許可防護機制。無論您是剛開始使用 SCP 還是擁有現有的 SCP,都可以使用 IAM 存取顧問,來協助您自信地限制許可。

使用 IAM Access Analyzer 實現最低權限許可

實現最低權限是一個連續的週期,隨著您需求的發展授予正確的精密許可。 IAM Access Analyzer 可協助您在設定、驗證和精簡許可時,精簡許可管理。

使用 ABAC 自動擴展精密許可

基於屬性的存取控制 (ABAC) 是一種授權政策,可用於根據使用者屬性 (例如部門、任務角色和團隊名稱) 建立更精密的許可。使用 ABAC,您可以減少在 AWS 帳戶中建立更精密的控制所需的不同許可的數量。

運作方式

使用 IAM,您可以透過指定精細分級的許可來定義誰可以訪問什麼內容。然後,IAM 會為每個請求強制執行這些許可。預設為拒絕存取,僅在許可指定 "Allow" (允許) 時才授予存取權。 

顯示 IAM 運作方式的圖像