更精細的存取控制權
許可可讓您指定和控制 AWS 服務和資源的存取權。若要授予 IAM 角色許可,可以連接政策以指定存取類型、可執行的動作,以及可對其執行動作的資源。
使用 IAM 政策,您即授予特定 AWS 服務 API 和資源的存取權。您也可以定義授予存取權的特定條件,例如授予從特定 AWS 組織存取身分的權限或透過特定 AWS 服務存取。
透過使用 IAM 角色委派存取
藉由 IAM 角色,您委派使用者或 AWS 服務存取權,以在您的 AWS 帳戶內操作。來自您的身份提供商或 AWS 服務的使用者可以擔任角色,以取得臨時安全憑證,這些憑證可用於在 IAM 角色的帳戶中發出 AWS 請求。因此,IAM 角色為需要在您的 AWS 帳戶中執行動作的使用者、工作負載和 AWS 服務提供一種依賴短期憑證的方法。
IAM Access Analyzer
實現最小權限是一個連續的週期,隨著您需求的發展授予正確的精密許可。 IAM Access Analyzer 可協助您在設定、驗證和精簡許可時,精簡許可管理。
許可防護機制
藉由 AWS Organizations,您可以使用服務控制政策 (SCP) 建立組織帳戶中所有 IAM 使用者角色遵循的許可防護機制。無論您是剛開始使用 SCP 還是擁有現有的 SCP,都可以使用 IAM 存取顧問,來協助您在整個 AWS 組織中自信地限制許可。
基於屬性的存取控制
基於屬性的存取控制 (ABAC) 是一種授權策略,可用於根據使用者屬性 (例如部門、任務角色和團隊名稱) 建立更精細的許可。使用 ABAC,您可以減少在 AWS 帳戶中建立更精細的控制所需的不同許可的數量。
開始使用 IAM