AWS IAM (Identity and Access Management)是能管理和控制访问AWS服务和资源的一个Web组件,它能定义谁可以访问你的AWS资源,以及它们的访问方式。

IAM是AWS免费的服务,用户不需要为使用IAM而支出任何费用。

重点名词

  • IAM用户(User):代表访问AWS的终端用户

    • 可使用密码来访问AWS管理平台
    • 可使用Access Key ID和Secret Access Key并通过API, CLI或SDK的形式来访问AWS服务(主要针对应用程序对AWS资源的访问)
    • 默认用户没有任何权限,我们需要用策略赋予每个用户所需要的最小权限
  • IAM用户组(Group):拥有相同权限的用户组合
    • 拥有相同权限的用户可以归入一个组,方便权限的统一管理和控制
    • 一个组可以拥有多个用户,一个用户可以属于多个组
  • IAM角色(Role):角色可以分配给AWS服务,让AWS服务有访问其他AWS资源的权限
    • 角色不包含任何用户名/密码
    • 角色比用户更加安全可靠,因为没有泄露用户名/密码或者Access Key的可能性
    • 代入角色时,他会为您提供角色会话的临时安全凭证
    • 举个例子,我们可以赋予EC2实例一个角色,让其有访问S3的读写权限
  • IAM策略(Policy):定义具体访问权限的文档
    • 策略具体定义了能访问哪些AWS资源,并且能执行哪些操作(比如List, Read, Write等)
    • 策略的文档以JSON的格式展现

AWS IAM还拥有如下特点:

  • AWS账号管理的中央控制,IAM可以统一管理AWS的所有账号,权限问题
  • 分享AWS的访问权限给其他用户
  • 精细的访问权限控制,每一个用户都可以被赋予不同的访问权限
  • 可通过角色(Role)安全地赋予AWS服务访问另一个AWS服务的权限
  • Identity Federation ,通过与AD,Facebook,Google等第三方机构认证,赋予用户短暂的AWS权限
  • 多重认证/MFA (Multi-Factor Authentication),在登陆AWS管理平台的时候,除了使用用户名/密码之外,还可以另外提供软件Token来认证,进一步提高了安全性
  • 可赋予用户/设备和服务短暂的访问权限
  • 可自定义密码复杂度策略(密码多少位,需不需要包含大小写字母和数字,多久过期等)
  • 和几乎所有AWS的服务都能集成
  • 支持PCI DSS规范

用户VS角色

在能够使用角色的场景下,能用角色就不要用IAM。比较常见的是EC2实例要访问一些AWS资源,比如S3存储桶。(考试的时候无脑选角色就对了)

AWS-IAM学习笔记相关推荐

  1. IAM 策略文档学习笔记

    策略文档 IAM 许可策略 附加到确定角色可执行哪些任务的角色.将许可限定为仅角色需要进行的操作,以及仅为进行这些操作角色需要的资源.您可以使用 AWS 管理的或客户创建的 IAM 许可策略 操作:您 ...

  2. java message bus_【Microsoft Azure学习之旅】消息服务Service Bus的学习笔记及Demo示例...

    今年项目组做的是Cloud产品,有幸接触到了云计算的知识,也了解并使用了当今流行的云计算平台Amazon AWS与Microsoft Azure.我们的产品最初只部署在AWS平台上,现在产品决定同时支 ...

  3. [NOTE] WebGoat v8.2.2学习笔记

    [NOTE] WebGoat v8.2.2学习笔记 文章目录 [NOTE] WebGoat v8.2.2学习笔记 前言 CIA 常见编码形式 OpenSSL使用 docker安全 SQL安全 SQLi ...

  4. Flowable学习笔记(二、BPMN 2.0-基础 )

    转载自  Flowable学习笔记(二.BPMN 2.0-基础 ) 1.BPMN简介 业务流程模型和标记法(BPMN, Business Process Model and Notation)是一套图 ...

  5. Postman接口测试工具学习笔记(一)接口测试概念及Postman入门

    (下文照搬@Storm啊老师博文,留下记录为了方便学习和理解.大家可以去看看原文地址:https://blog.csdn.net/duzilonglove/article/details/786454 ...

  6. AdneneBoumessouer / MVTec-Anomaly-Detection学习笔记

    AdneneBoumessouer / MVTec-Anomaly-Detection学习笔记 GitHub: https://github.com/AdneneBoumessouer/MVTec-A ...

  7. ggplot2学习笔记7:通过图层逐层构建图形

    Build a Plot Layer by Layer 5.1 介绍(Introduction) ggplot2背后的一个关键思想是,它允许轻松地迭代,一次一层地构建一个复杂的绘图.每个图层可以来自不 ...

  8. Pointproofs 学习笔记3——代码解析

    1. 引言 之前的系列博客有: 1)Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1中,主要对 Algoran ...

  9. openstack 学习笔记 虚拟机的基础安装sql glance nova keystone 。。。。。

    专业综合设计与开发 目 录 1.虚拟机的安装 6 1.1 虚拟机安装配置 6 1.2 安装epel仓库 6 1.3 克隆前的其它准备工作 6 2.Open Stack 7 2.1 OpenStack是 ...

  10. Reliable Cloud Infrastructure: Design and Process学习笔记

    最后更新2022/03/16 忘记更新对应的学习笔记,补上.这一科有9节,加上0章简介 简介 google cloud的好多功能有点相似,这科内容是介绍应该选什么产品,怎么选择,怎么规划,怎么设计等等 ...

最新文章

  1. Robotics Research Laboratory
  2. 你不得不了解 Helm 3 中的 5 个关键新特性
  3. 上传图片被防火墙拦截_Murus Pro Suite——防火墙软件
  4. 大括号之谜:C++的列表初始化语法解析
  5. 用ByteArrayOutputStream解决IO流乱码问题
  6. SQL Server中的执行计划
  7. 开源 java CMS - FreeCMS2.3会员我的简历
  8. BZOJ 1878: [SDOI2009]HH的项链【莫队】
  9. activity劫持反劫持
  10. 计算与推断思维 七、函数和表格
  11. Linux命令使用笔记
  12. 【android学习】记录应用内存优化
  13. 读取excel批量生成二维码
  14. Daily English - ... is driving me up a wall.
  15. 网页抓取及信息提取(三)
  16. AutoCAD2014打开一闪而过解决方法
  17. 关于手机端选择日期插件 mobiscroll
  18. 中国联通用户的GPRS和彩信设置方法
  19. 阿里云技术战略总监陈绪:45 岁开源老兵“中年花开”阿里云 | 人物志
  20. lammps计算应力

热门文章

  1. VS Code保存文件时自动删除行尾空格
  2. 数字化转型再下一城,数字孪生厂商优锘科技宣布完成超3亿元融资
  3. 2015小米实习生笔试题1 求两个数的不同位的个数
  4. 郁闷的出纳员 (splay) 题解
  5. FreeSWITCH 与 Asterisk(译)
  6. matlab中的电子器件,对电力电子器件控制设计进行硬件在环测试
  7. SinuTrain for SINUMERIK 仿真西门子最新版仿真软件
  8. 【ArcGIS】server授权文件ecp超期的处理
  9. 【转】《DOTA系列》蛰伏恐惧之路——复仇之魂攻略
  10. 信息安全专业毕业设计选题推荐