一、介绍
1、简介
AWS Identity and Access Management (IAM) 是 Amazon Web Services 提供的一项服务,用于管理 AWS 资源的访问权限。通过 IAM,可以安全地控制用户、组和角色对 AWS 服务和资源的访问权限。IAM 是 AWS 安全模型的核心组成部分,确保只有经过授权的用户和应用程序才能访问 AWS 资源。
二、主要概念
1、账户Account
账户可以被认为是一个公司或组织(在 AWS 上的代表),是资源的最高层级容器,所有的 AWS 资源都在某个 AWS 账户下创建和管理。
AWS 账户代表一个独立的所有者空间,用于管理和计费 AWS 资源。每个账户都有一个唯一的 account-id。
在 AWS 中,账户划分通常根据组织的需求和最佳实践进行,以确保安全性、成本管理和资源隔离。以下是一些常见的 AWS 账户划分策略:
- 按环境划分:开发账户,测试账户,生产账户- 按部门或团队划分:营销账户,销售账户,工程账户- 按项目划分:项目 A 账户,项目 B 账户- 按业务单元划分:业务单元 1 账户,业务单元 2 账户- 按混合划分:项目A-开发账户,项目A-生产账户,项目B-开发账户,项目B-生产账户
2、用户User
IAM 用户是 AWS 账户中的唯一身份,可以是个人、应用程序或服务。每个用户都有唯一的凭证(如用户名和密码、访问密钥)。
3、组(Group)
IAM 组是用户的集合。可以将用户添加到组中,并为组分配权限。组简化了权限管理,因为可以一次性为组中的所有用户分配权限。
4、角色(Role)
IAM 角色是具有特定权限的 AWS 身份,但没有特定的用户或组关联。角色通常用于跨账户访问、应用程序访问或临时访问。用户 User 和 角色 Role 的区别:
| 特性 | IAM 用户(User) | IAM 角色(Role) |
|---|---|---|
| 身份类型 | 个人或应用程序 | 临时身份,无长期凭证 |
| 凭证类型 | 长期凭证(访问密钥、用户名/密码) | 临时凭证(通过 Assume Role 获取的临时安全令牌) |
| 使用场景 | 持续访问 AWS 资源 | 临时访问、跨账户访问、应用程序访问、权限提升 |
| 权限分配 | 通过策略直接附加到用户 | 通过策略附加到角色,通过信任策略定义谁可以 Assume 角色 |
| 典型场景 | 为团队成员创建用户账户,分配长期访问权限 | 为跨账户访问、应用程序访问、临时权限提升创建角色 |
5、策略(Policy)
IAM 策略是 JSON 文档,定义了允许或拒绝的权限。策略可以附加到用户、组或角色,以授予相应的权限。策略类型包括托管策略(由 AWS 提供或自定义创建)和内联策略(直接嵌入到单个用户、组或角色中)。
三、操作方法
1、入口
进入付费主账号的AWS(AWS中国区AWS全球区)控制台,在搜索框输入【IAM】并点击进入IAM服务;
