什麼是IAM？

AWS Identity and Access Management (IAM) 是一項可協助您安全控制存取權的 Web 服務 AWS 的費用。使用IAM，您可以管理控制哪些權限 AWS 使用者可以存取的資源。您可IAM以用來控制誰要經過驗證 (登入) 和授權 (具有權限) 來使用資源。IAM提供控制驗證和授權所需的基礎結構 AWS 帳戶.

身份

當你創建一個 AWS 帳戶時，您會從一個擁有完整存取權限的登入身分開始 AWS 服務 和帳戶中的資源。這個身份被稱為 AWS 帳戶 root 使用者，並透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需需要您以 root 使用者身分登入的完整工作清單，請參閱《使用指南》中的〈需要 root 使用者認證的IAM工作〉。

用IAM於設定 root 使用者以外的其他身分識別，例如管理員、分析師和開發人員，並授予他們存取權限，以便他們成功完成工作所需的資源。

存取管理

設定使用者之後IAM，他們會使用其登入認證進行驗證 AWS。 透過將登入認證與受信任的主體 (IAM使用者、同盟使用者、IAM角色或應用程式) 進行比對來提供驗證 AWS 帳戶。 接下來，會提出要求來授與資源的主體存取權。如果使用者已獲得資源的權限，則會針對授權要求授予存取權。舉例來說，當您第一次登入主控台且位於主控台首頁時，您無法存取特定服務。選取某項服務時，系統會將授權請求傳送至該服務，該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級，以及任何可能生效中的其他政策。授權請求可以由內部的主體提出 AWS 帳戶 或從另一個 AWS 帳戶 那是你信任的

授權後，主體就可以對您中的資源採取動作或執行作業 AWS 帳戶。 例如，主體可以啟動新的 Amazon Elastic Compute Cloud 執行個體、修改IAM群組成員資格或刪除 Amazon Simple Storage Service 水桶。

服務可用性

IAM，像許多其他 AWS 服務一般，最終是一致的。IAM透過將資料複製到全球 Amazon 資料中心內的多個伺服器，以達到高可用性。如果變更一些資料的請求成功完成，則該變更經認可並安全儲存。但是，必須跨越複製變更IAM，這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。我們建議您不要在應用程式的關鍵、高可用性程式碼路徑中包含此類IAM變更。而是在不常執行的個別初始化或安裝常式中進行IAM變更。另外，在生產工作流程套用這些變更之前，請務必確認變更已完成傳播。如需詳細資訊，請參閱我所做的變更不一定都會立刻生效。

服務費用資訊

AWS Identity and Access Management (IAM), AWS IAM Identity Center 以及 AWS Security Token Service (AWS STS）是您的功能 AWS 帳戶不收取額外費用。只有在您存取其他版本時才會向您收費 AWS 使用您的使用IAM者的服務或 AWS STS 臨時安全登入資料。

IAM提供存取分析器外部存取分析，不收取額外費用。但是，您將對未使用的訪問分析和客戶政策檢查產生費用。如需IAM存取分析器的完整費用和價格清單，請參閱IAM存取分析器定價。

有關其他定價的信息 AWS 產品請參閱 Amazon Web Services 定價頁面。

與其他整合 AWS 服務

IAM與許多人集成 AWS 服務。對於列表 AWS 使用的服務IAM和服務支援的IAM功能，請參閱AWS 與之合作的服務 IAM。

如需IAM概念的相關資訊，請參閱下列主題：