AWS Identity and Access Management (IAM) 是AWS云平台上的一种 Web 服务,可帮助你安全地控制用户对 AWS 资源的访问权限。通过 IAM 可以控制哪些人可以使用你的 AWS 资源(身份验证)以及他们可以使用的资源和采用的方式(授权)。
IAM 主要功能与特点
Shared access to your AWS account
Granular permissions
Secure access to AWS resources for applications that run on Amazon EC2
Identity federation
Identity information for assurance
PCI DSS Compliance
Integrated with many AWS services
Eventually Consistent
Free to use
基本概念
User
您可以在账户中创建与组织中的用户对应的各 IAM 用户,而不是与他人共享您的根账户凭证。IAM 用户不是单独的账户;它们是您账户中的用户。每个用户都可以有自己的密码以用于访问 AWS 管理控制台。您还可以为每个用户创建单独的访问密钥,以便用户可以发出编程请求以使用账户中的资源。
Group
IAM中,组是 IAM 用户的集合。利用组,可为多个用户指定权限,以便更轻松地管理这些用户的权限。例如,您可能有一个名为 Admins 的组,并向该组授予管理员通常需要的权限类型。该组中的任何用户均自动具有分配给该组的权限。如果有新用户加入您的组织,并且需要管理员权限,则可通过将此用户添加到组来分配相应的权限。同样,如果您的组织中有人更换工作,则不必编辑该用户的权限,只需从旧组中将其删除,然后将其添加到合适的新组即可。
Role
IAM 角色 类似于用户,因为它是一个 AWS 实体,该实体具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有任何关联的凭证(密码或访问密钥)。相反,如果将某个用户分配给角色,则将动态创建访问密钥并将该密钥提供给用户。
Temporary Security Credentials
您可以使用 AWS Security Token Service (AWS STS) 创建可控制对您的 AWS 资源的访问的临时安全凭证,并将这些凭证提供给可信用户。
典型使用场景
Federating Existing Users
下图介绍用户如何使用 IAM 获取临时 AWS 安全凭证以访问您 AWS 账户中的资源
访问控制相关概念
Permissions
基于身份的 (IAM) 权限和基于资源的权限
下图阐明了两种权限类型。第一列显示与身份(两个用户和两个组)关联的权限。其中一些权限确定可对其执行操作的特定资源。这些操作支持资源级 权限。第二列显示挂载到资源的权限。这些服务支持基于资源的权限。
Policies
要给用户、组、角色或资源指定许可,您必须创建一个策略,它是一个显式列出许可的文档。从最基本的意义上而言,策略使您能够指定以下内容:
操作:您将允许哪些操作。每个 AWS 服务都有自己的一组操作。例如,您可能允许用户使用 Amazon S3 ListBucket
操作,它将返回有关存储段中项目的信息。任何您没有显式允许的操作都将被拒绝。
资源:您允许对哪些资源执行操作。例如,您将允许用户对哪些特定 Amazon S3 存储段执行ListBucket
操作?用户不能访问任何您没有显式授予许可的任何资源。
效果:当用户请求访问权限时将产生什么效果(允许或拒绝)。因为默认设置为拒绝用户访问资源,因此您通常需要指定您将允许用户访问资源。
AWS IAM 最佳实践
- 隐藏您的 AWS 账户根用户 访问密钥
- 创建单独的 IAM 用户
- 使用组向 IAM 用户分配权限
- 授予最低权限
- 利用 AWS 托管策略开始使用权限
- 使用客户托管策略而不是内联策略
- 使用访问权限级别查看 IAM 权限
- 为您的用户配置强密码策略
- 为特权用户启用 MFA
- 针对在 Amazon EC2 实例上运行的应用程序使用角色
- 使用角色委托权限
- 不共享访问密钥
- 定期轮换凭证
- 删除不需要的凭证
- 使用策略条件来增强安全性
- 监控 AWS 账户中的活动
- 关于 IAM 最佳实践的视频演示
- User
- Group
- Role
- Temporary Security Credentials
- Permissions
- Policies
目录
686 次点击
加入收藏