IAM全稱是 Identity and Access Management，它是AWS提供的身份管理服務。 主要用來解決AWS賬戶中的身份認證 (Authentication) 和授權 (Authorization)，這兩個問題。 AWS提供很多的服務，通過使用這些服務又可以創建很多的資源，比如EC2、RDS、VPC等。使用這些資源都是需要付費的，當然不能誰都可以用。因此只有通過認證和授權才可以使用。 IAM服務就是起這個作用。AWS IAM 設計了主體、實體、用戶, 角色, 用戶組, 權限策略等概念和機制。以后有機會我們會深入說明。

  功能框架

AWS IAM是AWS提供的一項核心基礎設施服務，為AWS中基于身份的訪問控制提供基礎。使用IAM服務不需要支付額外費用。借助AWS IAM服務， 使用者可以集中管理控制用戶或者應用程序訪問AWS 資源的精細權限。IAM控制誰通過了身份驗證（準許登錄）并獲得授權（擁有權限）來使用資源。

  概念原理

IAM是AWS Identity and Access Management的縮寫，可以精確地指定誰以及在哪些條件下可以訪問哪些 AWS 服務和資源。 IAM 會對每個請求強制實施這些權限。默認情況下拒絕訪問，僅當指定權限為“允許”時才授予訪問權限。

工作原理圖（一）

工作原理圖（二）

  組件構成

IAM提供了控制AWS賬戶身份驗證和授權所需的基礎設施。 IAM基礎設施如下圖所示。 首先，人類用戶或應用程序使用其登錄憑證與AWS進行身份驗證，然后請求授予主體對資源的訪問權限，獲得授權后，主體可以對AWS賬戶里的資源采取行動或執行操作。