什么是IAM涨共?
AWS Identity and Access Management (IAM) 是一種 Web 服務(wù)源织,可幫助您安全地控制用戶對 AWS 資源的訪問權(quán)限蠢挡。通過 IAM 可以控制哪些人可以使用您的 AWS 資源(身份驗證)以及他們可以使用的資源和采用的方式(授權(quán))。
主要功能與特點
Shared access to your AWS account
Granular permissions
Secure access to AWS resources for applications that run on Amazon EC2
Identity federation
Identity information for assurance
PCI DSS Compliance
Integrated with many AWS services
Eventually Consistent
Free to use
基本概念
User
您可以在賬戶中創(chuàng)建與組織中的用戶對應(yīng)的各 IAM 用戶寝姿,而不是與他人共享您的根賬戶憑證儡毕。IAM 用戶不是單獨的賬戶也切;它們是您賬戶中的用戶。每個用戶都可以有自己的密碼以用于訪問 AWS 管理控制臺。您還可以為每個用戶創(chuàng)建單獨的訪問密鑰雷恃,以便用戶可以發(fā)出編程請求以使用賬戶中的資源疆股。
Group
IAM* 組*是 IAM 用戶的集合。利用組褂萧,可為多個用戶指定權(quán)限,以便更輕松地管理這些用戶的權(quán)限葵萎。例如导犹,您可能有一個名為 Admins 的組,并向該組授予管理員通常需要的權(quán)限類型羡忘。該組中的任何用戶均自動具有分配給該組的權(quán)限谎痢。如果有新用戶加入您的組織,并且需要管理員權(quán)限卷雕,則可通過將此用戶添加到組來分配相應(yīng)的權(quán)限节猿。同樣,如果您的組織中有人更換工作漫雕,則不必編輯該用戶的權(quán)限滨嘱,只需從舊組中將其刪除,然后將其添加到合適的新組即可浸间。
Role
IAM 角色 類似于用戶太雨,因為它是一個 AWS 實體,該實體具有確定其在 AWS 中可執(zhí)行和不可執(zhí)行的操作的權(quán)限策略魁蒜。但是囊扳,角色旨在讓需要它的任何人代入,而不是唯一地與某個人員關(guān)聯(lián)兜看。此外锥咸,角色沒有任何關(guān)聯(lián)的憑證(密碼或訪問密鑰)。相反细移,如果將某個用戶分配給角色搏予,則將動態(tài)創(chuàng)建訪問密鑰并將該密鑰提供給用戶。
Temporary Security Credentials
您可以使用 AWS Security Token Service (AWS STS) 創(chuàng)建可控制對您的 AWS 資源的訪問的臨時安全憑證弧轧,并將這些憑證提供給可信用戶缔刹。
典型使用場景
Federating Existing Users
下圖介紹用戶如何使用 IAM 獲取臨時 AWS 安全憑證以訪問您 AWS 賬戶中的資源
訪問控制相關(guān)概念
Permissions
基于身份的 (IAM) 權(quán)限和基于資源的權(quán)限
下圖闡明了兩種權(quán)限類型。第一列顯示與身份(兩個用戶和兩個組)關(guān)聯(lián)的權(quán)限劣针。其中一些權(quán)限確定可對其執(zhí)行操作的特定資源校镐。這些操作支持資源級 權(quán)限。第二列顯示掛載到資源的權(quán)限捺典。這些服務(wù)支持基于資源的權(quán)限鸟廓。
Policies
要給用戶、組、角色或資源指定許可引谜,您必須創(chuàng)建一個策略牍陌,它是一個顯式列出許可的文檔。從最基本的意義上而言员咽,策略使您能夠指定以下內(nèi)容:
操作:您將允許哪些操作毒涧。每個 AWS 服務(wù)都有自己的一組操作。例如贝室,您可能允許用戶使用 Amazon S3 ListBucket
操作契讲,它將返回有關(guān)存儲段中項目的信息。任何您沒有顯式允許的操作都將被拒絕滑频。
資源:您允許對哪些資源執(zhí)行操作捡偏。例如,您將允許用戶對哪些特定 Amazon S3 存儲段執(zhí)行ListBucket
操作峡迷?用戶不能訪問任何您沒有顯式授予許可的任何資源银伟。
效果:當用戶請求訪問權(quán)限時將產(chǎn)生什么效果(允許或拒絕)。因為默認設(shè)置為拒絕用戶訪問資源绘搞,因此您通常需要指定您將允許用戶訪問資源彤避。
最佳實踐
隱藏您的 AWS 賬戶(根)訪問密鑰
創(chuàng)建單獨的 IAM 用戶
使用組向 IAM 用戶分配權(quán)限
授予最小權(quán)限
為您的用戶配置強密碼策略
為特權(quán)用戶啟用 MFA
針對在 Amazon EC2 實例上運行的應(yīng)用程序使用角色
通過使用角色而非共享證書來委托訪問
定期交替輪換證書
刪除不需要的證書
使用策略條件來增強安全性
監(jiān)控 AWS 賬戶中的活動
