本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Identity and Access Management 是一個強大的工具,可安全地管理對 AWS 資源的存取。使用 IAM 的主要好處之一是能夠授予對 AWS 帳戶的共用存取權。此外,IAM 可讓您指派精細的許可,讓您精確控制不同使用者可以對特定資源執行的動作。此層級的存取控制對於維護 AWS 環境的安全性至關重要。IAM 也提供數個其他安全功能。可以新增多重要素驗證 (MFA) 以獲得額外的保護,並利用聯合身分無縫整合來自公司網路或其他身分提供程式的使用者。IAM 也可與 AWS CloudTrail 整合,提供詳細的日誌和身分資訊,以支援稽核和合規要求。透過利用這些功能,您可以協助確保對關鍵 AWS 資源的存取受到嚴格控制且安全。
共用存取您的 AWS 帳戶
您可以授與其他人管理和使用 AWS 帳戶資源的許可,而無需共用您的密碼或存取金鑰。
精密許可
您可以對不同的人員授與不同資源的不同許可。例如,您可能允許一些使用者完整存取 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服務。對於其他使用者,您可以只允許對一些 Amazon S3 儲存貯體進行唯讀存取,或僅具有管理一些 Amazon EC2 執行個體的許可,或存取您的帳單資訊,但不能進行任何其他動作。
安全存取在 Amazon EC2 上執行之應用程式的 AWS 資源
您可以使用 IAM 功能為在 EC2 執行個體上執行的應用程式安全地提供憑證。這些憑證為您的應用程式提供存取其他 AWS 資源的許可。範例包括 S3 儲存貯體和 DynamoDB 表格。
多重要素驗證 (MFA)
您可以為帳戶和個別使用者新增雙重要素身分驗證,以提高安全性。使用 MFA,您或您的使用者不僅必須提供密碼或存取金鑰才能使用您的帳戶,還必須提供來自特殊設定裝置的代碼。如果您已經將 FIDO 安全金鑰與其他服務搭配使用,並且該金鑰具有 AWS 支援的組態,則您可以使用 WebAuthn 提高 MFA 安全。如需詳細資訊,請參閱使用通行密鑰和安全金鑰的支援組態
聯合身分
您可以允許已經在其他地方擁有密碼的使用者 (例如,在您的公司網路中或使用網際網路身分提供程式) 存取您的 AWS 帳戶。這些使用者會獲得符合 IAM 最佳實務建議的臨時憑證。使用聯合身分可增強 AWS 帳戶的安全性。
身分資訊保證
如果您使用 AWS CloudTrail
PCI DSS 合規
IAM 支援處理、儲存、傳輸商家或服務供應商的信用卡資料,並且已驗證合規於支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何索取 AWS PCI 合規套裝服務的副本,請參閱 PCI DSS 第 1 級
