AWS的账号和权限控制一开始接触的时候觉得很复杂，不仅IAM、Identiy Federation、organization，还有Role、Policy等。但是其实先理清楚基本一些概念，然后在根据实际应用场景去理解设计架构，你就会很快掌握这一方面的内容。
AWS的账号跟其它一些云或者说一些SAAS产品的账号没什么不一样，就是注册一个有唯一ID的账号，然后账号底下可以创建各种计算、存储、网络等资源，同时还能通过IAM去创建子账户、角色去共享这些资源。下面通过3方面来总体讲述一下AWS身份与联合身份认证的相关知识：

• 第一方面是基本一些概念或产品的用途
• 第二方面是通过常见应用场景设计的体系架构来巩固概念和产品
• 第三方面是关于IAM Policy权限控制，更加深入了解AWS的权限控制
  

  目录

  • 1 IAM
  • • 1.1 基本功能
    • 1.2 高级特性
  • 2 STS
  • • 2.1 基本原理
    • 2.2 使用场景
    • 2.3 混淆代理人问题（External ID）
  • 3 Identity Federation
  • • 3.1 实现Identity Federation的方式
  • 4 Organizations
  • • 4.1 基本特性
    • 4.2 典型架构
    • 4.3 Organization Unit & SCP
  • 5 Resource Access Manager
  • • 5.1 可共享资源
  • 6 IAM策略的评测逻辑
  • • 6.1 ABAC
    • 6.2 IAM策略的评测逻辑

1 IAM

了解AWS的账户管理、权限管理方式，最先了解的应该IAM。
AWS Identity and Access Management (IAM) 是一种 Web 服务，可以帮助您安全地控制对 AWS 资源的访问。借助 IAM，您可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（拥有权限）来使用资源。你可以简单理解IAM就是一个服务，专门做AWS的账号和权限管理的。

1.1 基本功能

了解IAM需要先了解下面几个功能

• 用户user
  你可以理解你拥有一个AWS账号，那么你就拥有Root用户（当然该用户不会显示在用户列表