技術分享 | 一分鐘了解AWS IAM是什么?
■ 功能框架
借助AWS IAM,可以集中管理控制用戶訪問AWS 資源的權限。 可以使用IAM來控制誰通過了身份驗證(準許登錄)并獲得授權(擁有權限)來使用資源。 AWS IAM是一項核心基礎設施服務,為AWS中基于身份的訪問控制提供基礎。每次訪問AWS賬戶時都會使用到 IAM。 IAM是AWS賬戶提供的一項功能,無需支付額外費用。
■ 概念原理
IAM是AWS Identity and Access Management的縮寫,可以精確地指定誰以及在哪些條件下可以訪問哪些 AWS 服務和資源。
IAM 會對每個請求強制實施這些權限。默認情況下拒絕訪問,僅當指定權限為“允許”時才授予訪問權限。
AWS賬戶的創(chuàng)建者有義務保管好根用戶憑證,并且對根用戶的一切操作承擔完全責任。作為AWS的最佳安全實踐,強烈建議創(chuàng)建具有適當 權限的管理員身份來執(zhí)行日常管理任務,而根用戶憑證的使用限定在執(zhí)行需要根用戶權限的任務。
■ 組件構成
IAM提供了控制AWS賬戶身份驗證和授權所需的基礎設施。 IAM基礎設施如下圖所示。
首先,人類用戶或應用程序使用其登錄憑證與AWS進行身份驗證,然后請求授予主體對資源的訪問權限,獲得授權后,
主體可以對AWS賬戶里的資源采取行動或執(zhí)行操作。
