????????IAM是AWS架構(gòu)中對(duì)哪些用戶能夠?qū)δ男┵Y源進(jìn)行訪問這一部分的控制充边。也就是當(dāng)用戶對(duì)AWS內(nèi)資源進(jìn)行訪問時(shí),IAM可以對(duì)用戶的權(quán)限進(jìn)行限制镀琉,通過IAM來控制哪些人可以使用AWS內(nèi)的資源。在AWS中有區(qū)域和可用區(qū)的概念,而IAM不受區(qū)域的限制挪哄,在IAM內(nèi)生成的用戶,策略琉闪,角色等可以在任何區(qū)域內(nèi)使用迹炼。
? ? ? ? 當(dāng)注冊(cè)AWS賬號(hào)(根用戶)之后,賬號(hào)的持有者會(huì)自動(dòng)地被賦予訪問所有AWS服務(wù)的權(quán)限颠毙。根用戶可以在AWS中生成很多IAM用戶斯入,默認(rèn)情況下,新生成的IAM用戶沒有任何訪問AWS服務(wù)的權(quán)限蛀蜜,想要IAM用戶訪問某個(gè)AWS服務(wù)刻两,必須對(duì)其賦予相應(yīng)的權(quán)限,出于安全性的考慮滴某,對(duì)IAM用戶賦予權(quán)限的時(shí)候應(yīng)遵守最小權(quán)限的原則磅摹。比如說,某個(gè)公司的老板擁有根用戶霎奢,然后他的某位員工只需要訪問S3中保存的數(shù)據(jù)户誓,那么應(yīng)該給這個(gè)員工最小的權(quán)限,也就是S3內(nèi)對(duì)象的只讀權(quán)限即可幕侠,除此之外的EC2或者RDS相關(guān)權(quán)限一概不賦予帝美。
? ? ? ? 當(dāng)使用擁有訪問權(quán)限的IAM用戶時(shí),可以對(duì)某些AWS服務(wù)進(jìn)行訪問晤硕,比如對(duì)EC2實(shí)例進(jìn)行訪問的時(shí)候悼潭,為了獲得訪問權(quán)限庇忌,可以將IAM用戶的密鑰存放在EC2實(shí)例上,但是非常不推薦這種做法女责。
????????對(duì)根賬戶或者IAM用戶都可以激活MFA漆枚,MFA是多重驗(yàn)證的意思,一旦對(duì)根賬戶或者IAM用戶激活MAF之后抵知,當(dāng)用戶登錄AWS后臺(tái)的時(shí)候墙基,不僅僅需要用戶名和密碼,另外還需要一個(gè)隨機(jī)生成的六位數(shù)字驗(yàn)證碼刷喜。這個(gè)驗(yàn)證碼是每5秒變化一次的残制,所以能盡可能地保證賬戶的安全性。激活的方法也很簡單掖疮,只需要使用智能手機(jī)下載Google或者Authy的身份驗(yàn)證器初茶,然后利用這個(gè)身份驗(yàn)證的應(yīng)用掃描一下二維碼(在激活MFA步驟中)即可進(jìn)行認(rèn)證綁定谈跛。
????????當(dāng)需要利用AWS管理控制臺(tái)對(duì)AWS進(jìn)行管理的時(shí)候拥坛,盡可能使用IAM用戶,而非根用戶秕岛,可以對(duì)這個(gè)IAM用戶賦予管理者權(quán)限搁宾。在生成IAM用戶的時(shí)候可以選擇訪問類型折汞,類型中分編程訪問和AWS管理控制臺(tái)訪問。編程訪問即當(dāng)利用AWS的開發(fā)包進(jìn)行開發(fā)盖腿,并且需要訪問其他AWS服務(wù)的時(shí)候爽待,需要使用當(dāng)前的IAM用戶的訪問密鑰和私有訪問密鑰來進(jìn)行認(rèn)證。而管理控制臺(tái)訪問就是一般的登陸到AWS管理后臺(tái)對(duì)AWS進(jìn)行管理的訪問翩腐。當(dāng)對(duì)IAM用戶生成訪問密鑰和私有訪問密鑰的時(shí)侯鸟款,AWS提供用戶下載這兩個(gè)密鑰的信息,但為了安全性茂卦,私有訪問密鑰的信息只顯示這一次何什,如果忘記某個(gè)IAM用戶的密鑰的時(shí)候,只能對(duì)它重新生成新的密鑰等龙,同樣新生成的私有訪問密鑰只顯示一次处渣,而每個(gè)IAM用戶只有創(chuàng)建兩個(gè)訪問密鑰的權(quán)限。
????????IAM用戶組而咆,當(dāng)有很多用戶需要管理霍比,并且這些用戶的權(quán)限都大致相同時(shí)幕袱,為了方便管理暴备,可以生成用戶組來管理用戶,賦予權(quán)限時(shí)可以將IAM策略直接賦予給用戶組们豌,這樣同樣的權(quán)限同時(shí)會(huì)賦予到用戶組中的所有用戶上涯捻。
????????對(duì)IAM用戶還可以應(yīng)用密碼策略浅妆,也就是當(dāng)對(duì)這些IAM用戶生成密碼的時(shí)候,我們自己可以指定密碼應(yīng)該滿足什么樣的條件障癌,比如說密碼至少要8位凌外,其中至少有英文字母等。當(dāng)利用IAM用戶登錄到AWS后臺(tái)的時(shí)候需要利用AWS為IAM用戶生成的登陸鏈接涛浙。
????????一個(gè)IAM用戶可以擁有多個(gè)IAM策略康辑,IAM策略在別的篇章里介紹。
