您在 AWS 账户 中创建的 IAM 用户拥有您可以直接管理的长期凭证。
在 AWS 中管理访问权限时,IAM 用户通常并非最佳选择。在大多数使用案例中,您应该避免依赖 IAM 用户,原因有几个。
首先,IAM 用户是为个人账户设计的,因此随着组织的发展,他们无法很好地扩展。管理大量 IAM 用户的权限和安全很快就会成为一项挑战。
IAM 用户还缺乏其他 AWS 身份管理解决方案所提供的集中可见性和审计功能。这可能会使维护安全性和监管合规性变得更具挑战性。
最后,使用更具可扩展性的身份管理方法,可以更轻松地实施安全最佳实践,例如多重身份验证、密码策略和角色分离。
建议不要依赖 IAM 用户,而是使用更强大的解决方案,例如具有 AWS Organizations 的 IAM Identity Center 或来自外部提供商的联合身份。随着 AWS 环境的增长,这些选项将为您提供更好的控制、安全性和运营效率。
因此,建议您仅对联合用户不支持的使用案例使用 IAM 用户。
以下列表确定 AWS 中需要带 IAM 用户的长期凭证的特定使用案例。您可以使用 IAM 在您 AWS 账户的伞形结构下创建这些 IAM 用户,并使用 IAM 管理他们的权限。
-
紧急访问您的 AWS 账户
-
无法使用 IAM 角色的工作负载
-
AWS CodeCommit 访问
-
Amazon Keyspaces(Apache Cassandra 兼容)访问
-
-
第三方 AWS 客户端
-
AWS IAM Identity Center 不适用于您的账户,而且您没有其他身份提供商
