IAM 代表身份和访问管理，可帮助控制谁可以进入云、访问 AWS 资源以及进入后可以做什么。

• 身份： IAM 帮助管理可以与 AWS 资源交互的身份（如用户名或服务帐户）。

• 访问：它决定每个身份可以在 AWS 服务上执行哪些操作（例如读取、写入或删除数据）。

IAM 的特点：

1. 控制谁做什么： IAM 决定谁可以访问 AWS 资源以及他们可以用这些资源做什么。

2. 使用 MFA 提供额外的安全性：可以要求用户使用第二种验证形式（例如智能手机应用程序）以及密码来增加额外的安全性。

3. 简化服务访问： IAM 允许 AWS 服务安全地访问其他服务，从而减少了对密钥的需求。

4. 微调权限：可以精确指定每个用户或组可以访问的内容，确保他们只拥有他们需要的权限。

5. 访问顾问洞察： IAM 提供对权限的洞察，帮助了解用户和服务正在使用的内容并相应地调整权限。

IAM 身份分为三类：

1. IAM 用户

2. IAM 组

3. IAM 角色

IAM 用户： 

IAM 用户是 AWS 账户中的个人实体。他们是需要与AWS 资源交互的人类用户、应用程序或服务。以下是 IAM 用户的分类：

• 标识：每个 IAM 用户都有一个唯一的用户名，用于身份验证。创建 IAM 用户时，可以选择一个有助于识别用户的用户名，例如“John”或“MarketingApp”。

• 访问凭证：IAM 用户可以拥有访问凭证，包括用于编程访问的密码或访问密钥（访问密钥 ID 和秘密访问密钥）。密码用于 AWS 管理控制台，而访问密钥用于通过 API 或 AWS CLI 进行编程访问。

• 权限：用户可以附加策略，定义他们可以对哪些 AWS 资源执行哪些操作。这些策略控制对 AWS 服务的访问级别。

• 多重身份验证 (MFA)：可以为 IAM 用户启用 MFA，这会增加一层额外的安全保护。它要求用户除了提供密码外，还提供第二个身份验证因素，通常是硬件令牌或智能手机应用程序。

IAM 组：

IAM 组是 IAM 用户的集合。是一种简化需要相同访问级别的多个用户的权限管理的方法。IAM 组的工作原理如下：

• 组成员身份：用户可以添加到一个或多个组。当有一组具有相似工作角色或职责的用户时，此功能非常有用，因为可以将他们添加到定义其共同权限的组中。

• 策略附加：无需将策略附加到单个用户，而是将策略附加到 IAM 组。组中的所有用户都会继承组策略中定义的权限。这样可以更轻松地确保具有相似角色的用户具有一致的访问权限。

• 可扩展性和效率：IAM 组使权限管理更加高效。如果需要一次更改多个用户的权限，则可以更新组的策略，所有组成员都会收到更改。

IAM 角色：

IAM 角色与用户和组略有不同。它们适用于需要授予 AWS 服务权限、受信任实体的临时访问权限或跨账户访问的情况。IAM 角色的工作原理如下：

• 信任关系：角色通过信任关系定义，指定哪些实体或服务可以承担该角色。例如可以创建一个允许 EC2 实例访问 S3 存储桶的角色。

• 临时权限：角色提供临时访问权限。当用户或服务承担某个角色时，他们会收到临时安全凭证，这些凭证在有限的时间内有效。这增加了一层安全性，可以为角色的使用期限设置特定权限。

• 跨账户访问：当想要授予另一个 AWS 账户访问资源的权限时，可以使用角色。另一个账户将承担该角色，以安全地访问资源，而无需共享访问密钥。

总之，IAM 用户是具有自己的凭证和权限的独立实体。IAM 组帮助集体管理具有类似权限的用户。IAM 角色用于授予对 AWS 服务或实体的临时、受控访问权限，并可用于跨账户访问。这些 IAM 组件共同能够高效地管理和保护对 AWS 资源的访问。

在云上（OnCloud AI）（https://www.oncloudai.com/） 一直专注于企业上云转型和出海数字化服务。如有需求即可点击链接了解详情。