规划对 AWS 账户的访问权限
设置 AWS 时,请规划希望人们如何访问您的 AWS 账户和资源,以设置精心设计且安全的身份管理解决方案。
身份来源
根据 IAM 最佳实践,人类用户和工作负载在访问您的 AWS 资源时应使用临时凭证。临时凭证将授予使用 IAM 角色访问资源的身份。联合到 IAM 的用户和 IAM Identity Center 内的用户(联合身份或在 IAM Identity Center 目录中创建)都使用 IAM 角色来访问资源。
在开始使用 AWS 之前,请通过以下方式规划如何设置您的身份:
访问管理
确定您的用户将访问的 AWS 资源和服务,并定义每个用户、组或角色所需的访问权限和策略。
-
如果您使用 IAM Identity Center,则会在组织的每个 AWS 账户中自动创建 IAM 身份提供商以及 IAM 角色和权限策略。这些角色和权限与您在向特定应用程序或 AWS 账户分配人员或组时指定的权限一致。
有关更多信息,请参阅分配用户访问权限和设置对应用程序的单点登录访问权限。
-
如果您在 AWS 账户 中将身份提供商直接与 IAM 联合,则必须创建一个供用户担任的角色和两条策略:一条信任策略,指定可以担任该角色的人员;一条权限策略,指定允许或拒绝担任该角色的人员访问的 AWS 操作和资源。
有关更多信息,请参阅 身份提供程序和联合身份验证