# 为什么应该使用 IAM？
<a name="intro-iam-features"></a>

AWS Identity and Access Management 是一款用于安全管理 AWS 资源访问权限的强大工具。使用 IAM 的主要优点之一是能够向您的 AWS 账户授予共享访问权限。此外，IAM 还允许您分配精细的权限，从而可让您精确控制不同用户可以对特定资源执行的操作。这种访问控制级别对于维护 AWS 环境的安全至关重要。IAM 还具有其他几项安全功能。您可以添加多重身份验证（MFA）以获得额外的保护层，以及利用身份联合验证无缝集成来自公司网络或其他身份提供商的用户。IAM 还与 AWS CloudTrail 集成，并且提供详细的日志记录和身份信息，以支持审计和合规性要求。通过利用这些功能，您可以协助确保对关键 AWS 资源的访问受到严格控制和安全保障。

## 对您 AWS 账户 的共享访问权限
<a name="intro-shared-access"></a>

您可以向其他人员授予管理和使用您 AWS 账户中的资源的权限，而不必共享您的密码或访问密钥。

## 精细权限
<a name="intro-granular-permissions"></a>

您可以针对不同资源向不同人员授予不同权限。例如，您可以允许某些用户完全访问 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 以及其他 AWS 服务。对于另一些用户，您可以允许仅针对某些 Amazon S3 存储桶的只读访问权限，或是仅管理某些 Amazon EC2 实例的权限，或是访问您的账单信息但无法访问任何其他内容的权限。

## 在 Amazon EC2 上运行的应用程序针对 AWS 资源的安全访问权限
<a name="intro-secure-access"></a>

您可以使用 IAM 功能安全地为 EC2 实例上运行的应用程序提供凭证。这些凭证为您的应用程序提供权限以访问其他 AWS 资源。示例包括 S3 存储桶和 DynamoDB 表。

## 多重身份验证 (MFA)
<a name="intro-mfa-iam"></a>

您可以向您的账户和各个用户添加双重身份验证以实现更高安全性。借助 MFA，您或您的用户不仅必须提供使用账户所需的密码或访问密钥，还必须提供来自经过特殊配置的设备的代码。如果您已将 FIDO 安全密钥与其他服务配合使用，则该密钥应该具有 AWS 支持的配置，您可以使用 WebAuthn 实现 MFA 安全性。有关更多信息，请参阅[使用密钥或安全密钥的受支持配置](id_credentials_mfa_fido_supported_configurations) 

## 联合身份
<a name="intro-identity-federation-iam"></a>

您可以允许已在其他位置（例如，在您的企业网络中或通过互联网身份提供商）获得密码的用户获取对您 AWS 账户 的访问权限。这些用户被授予符合 IAM 最佳实践建议的临时凭证。使用联合身份验证增强 AWS 账户的安全性。

## 实现保证的身份信息
<a name="intro-identity-assurance"></a>

如果您使用 [AWS CloudTrail](https://aws.amazon.com/cloudtrail/)，则会收到日志记录，其中包括有关对您账户中的资源进行请求的人员的信息。这些信息基于 IAM 身份。

## PCI DSS 合规性
<a name="intro-pci-dss-compliance"></a>

IAM 支持由商家或服务提供商处理、存储和传输信用卡数据，而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息，包括如何请求 AWS PCI Compliance Package 的副本，请参阅 [PCI DSS 第 1 级](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。