什么是 IAM? - AWS Identity and Access Management

什么是 IAM?

AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。借助 IAM,您可以管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(具有相应权限)来使用资源。IAM 提供了控制您 AWS 账户 身份验证和授权所需的基础设施。

身份

当您创建 AWS 账户 时,最初使用的是一个对账户中所有 AWS 服务 和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户 根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅《IAM 用户指南》中的需要根用户凭证的任务

除了根用户之外,使用 IAM 还可以设置其他身份,例如管理员、分析师和开发人员,并且可以授予其访问成功完成其任务所需资源的访问权限。

访问管理

在 IAM 中设置用户后,他们将使用其登录凭证向 AWS 进行身份验证。通过匹配登录凭证与受 AWS 账户 信任的主体(IAM 用户、联合用户、IAM 角色或应用程序)来进行身份验证。接下来,请求授予主体对资源的访问权限。如果用户已被授予资源的相应资源,则根据授权请求授予访问权限。例如,当您首次登录控制台并进入控制台主页时,您并未访问特定服务。当您选择一项服务时,授权请求将发送至该服务,并查看您的身份是否在授权用户列表中,正在执行哪些策略来控制授予的访问级别,以及任何其他可能生效的策略。授权请求可以由您 AWS 账户 内的主体提出,也可以由您信任的其他 AWS 账户 提出。

获得授权后,主体可以对您 AWS 账户 里的资源采取行动或执行操作。例如,主体可以启动新的 Amazon Elastic Compute Cloud 实例、修改 IAM 群组成员资格或删除 Amazon Simple Storage Service 存储桶。

提示

AWS 培训和认证提供了介绍 IAM 的 10 分钟视频:

AWS Identity and Access Management 简介

服务可用性

IAM 和很多其他 AWS 服务一样,具备最终一致性。IAM 通过复制 Amazon 在全球的数据中心内多个服务器上的数据实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。不过,更改必须跨 IAM 复制,这需要时间。此类更改包括创建或更新用户、组、角色或策略。在应用程序的关键、高可用性代码路径中,我们不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。另外,在生产工作流程依赖这些更改之前,请务必验证更改已传播。有关更多信息,请参阅 我所做的更改可能不会立即可见

服务费用信息

AWS Identity and Access Management(IAM)、AWS IAM Identity Center 和 AWS Security Token Service(AWS STS)是为您的 AWS 账户提供的功能,不会另外收费。只有在您使用 IAM 用户或 AWS STS 临时安全证书访问其他 AWS 服务时才会向您收取费用。

IAM Access Analyzer 外部访问分析没有额外费用。但是,您需要为未使用的访问分析和客户策略检查支付费用。有关 IAM Access Analyzer 的收费和价格的完整列表,请参阅 IAM Access Analyzer 定价

有关其他AWS产品定价信息,请参阅亚马逊云科技定价页

与其他 AWS 服务集成

IAM 已与很多 AWS 服务集成。有关与 IAM 配合使用的 AWS 服务列表以及这些服务支持的 IAM 功能,请参阅 使用 IAM 的AWS服务