AWS IAM のアイコン

AWS IAM 经典2010年〜

安全管理 AWS 资源访问权限的身份认证与授权服务

阅读约需 1 分钟

它能做什么

AWS IAM (Identity and Access Management) 是一项用于安全控制 AWS 资源访问的服务。您可以精细定义谁 (用户、角色) 可以对哪些资源 (S3、EC2 等) 执行哪些操作 (读取、写入、删除)。IAM 本身免费使用,创建 AWS 账户后即可自动使用。

使用场景

用于团队成员的 AWS 访问权限管理、应用程序对 AWS 服务的访问控制、向外部合作伙伴授予临时访问权限、基于合规要求实施访问策略,以及多账户环境下的访问管理等,是 AWS 安全体系的基础。

日常类比

可以将其比作公司的门禁管理系统。只有持有工牌 (IAM 用户) 的人才能进入大楼,不同部门可进入的楼层 (访问权限) 各不相同。财务部可以进入财务系统的房间,开发部可以进入服务器机房,但彼此不能进入对方的区域。管理员可以随时更改权限。

什么是 IAM

AWS Identity and Access Management (IAM) 是支撑 AWS 安全体系的核心服务。创建 AWS 账户时会生成一个拥有所有权限的根用户,但最佳实践是日常操作不使用根用户,而是创建 IAM 用户或角色并授予最小必要权限。IAM 是全球性服务,不依赖区域,在全球范围内应用相同的配置。

核心概念

IAM 有 4 个核心概念。用户是对应个人的身份标识,用于控制台登录或程序化访问。组是用户的集合,向组授予权限后会应用到所有成员。角色是授予临时权限的机制,用于向 EC2 实例或 Lambda 函数等 AWS 服务授权。策略是以 JSON 格式编写的权限定义文档。

最小权限原则

IAM 运维中最重要的是最小权限原则。只为每个用户或角色授予完成工作所需的最小权限。例如,仅需读取 S3 数据的处理只授予 S3 读取权限,不授予写入或删除权限。使用 IAM Access Analyzer 可以分析实际使用的权限,识别不必要的权限。 如需全面了解最小权限原则,可参考 专业书籍 (Amazon)

如何开始

要开始使用 IAM,首先在 IAM 控制台创建管理员 IAM 用户,将根用户的使用降到最低。然后为团队成员创建用户和组,并分配 AWS 托管策略 (预定义的权限集)。启用 MFA (多因素认证) 可在密码泄露时保护账户安全。

注意事项

  • 不要在日常操作中使用根用户,应设置 MFA 并严格管理
  • 不要将访问密钥硬编码在源代码中,应使用 IAM 角色或环境变量
  • IAM 免费使用,但配置错误可能导致安全事件,务必贯彻最小权限原则
共有するXB!

相关服务

Amazon Cognito 图标Amazon Cognito为 Web 和移动应用程序提供认证、授权和用户管理的服务AWS CloudTrail 图标AWS CloudTrail记录和监控 AWS 账户 API 活动的服务Amazon VPC 图标Amazon VPC在 AWS 云中构建逻辑隔离的虚拟网络的服务AWS Lambda 图标AWS Lambda无需管理服务器即可运行代码的无服务器计算服务

相关文章

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS API 端点为何按区域区分 - 全球服务与区域服务的设计解析 ec2.us-east-1.amazonaws.com 这样的区域端点与 iam.amazonaws.com 这样的全球端点分离的设计原因,以及双栈端点和 FIPS 端点的存在。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。基于浏览器的 Shell 环境 - 使用 AWS CloudShell 实现即时 CLI 访问介绍使用 AWS CloudShell 的基于浏览器的 Shell 环境。包括从 AWS 管理控制台即时使用的 CLI 环境、预装开发工具、IAM 认证自动集成、安全文件管理等提升运维效率的实践方法。

本分类的更多服务

IAM Access Analyzer 图标IAM Access Analyzer 专业检测可从外部访问的资源和未使用的访问权限的服务AWS Certificate Manager 图标AWS Certificate Manager 基础自动化 SSL/TLS 证书的配置、管理和部署的服务AWS Artifact 图标AWS Artifact 专业按需获取 AWS 合规报告和协议的服务AWS Audit Manager 专业自动化合规审计的证据收集和评估的服务AWS CloudHSM 图标AWS CloudHSM 专业使用专用硬件安全模块管理加密密钥的服务Amazon Cognito 图标Amazon Cognito 热门为 Web 和移动应用程序提供认证、授权和用户管理的服务Amazon Detective 图标Amazon Detective 专业自动分析安全检测结果并调查根本原因的服务AWS Directory Service 图标AWS Directory Service 专业在 AWS 上提供托管 Active Directory 的服务

相似的文章与服务

AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。AWS IAM安全控制 AWS 资源访问的认证与授权服务,通过用户、组、角色和策略提供精细的访问管理身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。AWS IAM Identity Center与 AWS Organizations 集成的单点登录 (SSO) 服务,统一管理对多个 AWS 账户和业务应用的访问通过 AWS IAM Identity Center 实现单点登录 - 多账户访问管理实现多账户环境的单点登录,通过权限集控制各账户的访问级别。介绍与外部 IdP 的集成和 ABAC 的活用。