AWS Identity and Access Management (IAM)簡介
AWS Identity and Access Management (IAM) 使您能夠安全地管理對 AWS 服務和資源的訪問。您可以使用 IAM 創建和管理 AWS 用戶和組,并使用各種權限來允許或拒絕他們對 AWS 資源的訪問。
IAM 是 AWS 賬戶提供的一項功能,不另外收費。只需為您的用戶所用的其他 AWS 服務付費。
使用案例
進行精細的訪問控制、與您的公司目錄集成,并要求對高特權用戶使用 MFA。
對 AWS 資源進行精細訪問控制
借助 IAM,您的用戶能夠控制對 AWS 服務 API 和特定資源的訪問。您也可以使用 IAM 添加特定的條件 (例如時間),以控制用戶使用 AWS 的方式、其來源 IP 地址、是否使用 SSL,或是否通過多重驗證設備進行身份驗證。
通過 Web 身份提供商管理移動應用程序的訪問控制
您可以通過請求臨時安全憑證 (這些憑證僅可授予對特定 AWS 資源在可配置時限內的訪問權限),使您的移動版和基于瀏覽器的應用程序安全地訪問 AWS 資源。
適用于高特權用戶的多重驗證
使用 AWS MFA 這項加強用戶名稱和密碼憑證的安全功能來保護您的 AWS 環境,無需額外支付費用。MFA 要求用戶通過提供有效的 MFA 代碼來證明其真正擁有硬件 MFA 令牌或啟用 MFA 的移動設備。
與公司目錄集成
通過 IAM,您可以使用您現有的身份驗證系統 (如 Microsoft Active Directory) 向員工和應用程序授予對 AWS 管理控制臺和 AWS 服務 API 的聯合訪問權限。您可以使用任何支持 SAML 2.0 的身份管理解決方案,也可以使用我們的聯合示例 (AWS 控制臺 SSO 或 API 聯合)。
功能
IAM 可以幫助創建角色和權限
AWS IAM 讓您能夠:
- 管理 IAM 用戶及其訪問權限 - 您可以在 IAM 中創建用戶,為其分配單獨的安全憑證 (或稱為訪問密鑰、密碼、多重驗證設備) 或請求臨時安全憑證,供用戶訪問 AWS 服務和資源。您可以管理權限,以控制用戶可以執行哪些操作。
- 管理 IAM 角色及其權限 - 您可以在 IAM 中創建角色并管理權限,以便控制承擔該角色的實體或 AWS 服務可以執行哪些操作。您也可以定義由哪個實體承擔該角色。此外,您可以使用與服務關聯的角色向代表您創建與管理 AWS 資源的各種 AWS 服務委派權限。
- 管理聯合身份用戶及其權限 - 您可以啟用聯合身份功能,以允許公司中的現有身份 (用戶、組和角色) 訪問 AWS 管理控制臺、調用 AWS API 并訪問資源,而無需為各個身份創建 IAM 用戶。使用任何支持 SAML 2.0 的身份管理解決方案,或使用我們的聯合示例 (AWS 控制臺 SSO 或 API 聯合)。
