了解 IAM 详情的资源

IAM 是一款功能丰富的产品，您可找到许多资源来了解有关 IAM 如何帮助保护 AWS 账户 和资源的更多信息。

身份

请参阅这些资源，以便创建、管理和使用身份。

• 在 IAM Identity Center 管理身份 – 有关在 IAM Identity Center 中创建用户和组的程序信息。

• IAM 身份（用户、用户组和角色） – 有关用户、组和角色的深入讨论。

证书（密码、访问密钥和 MFA 设备）

查看以下指南，为您的 AWS 账户 和 IAM 用户管理密码、访问密钥以及 MFA 设备。

• 在 AWS 中管理用户密码 – 介绍为账户中的 IAM 用户管理密码的选项。

• 管理 IAM 用户的访问密钥 – 介绍访问密钥的工作原理以及如何使用它们以编程方式调用 AWS。我们建议您首先考虑使用其他更安全的访问密钥的替代方法。有关更多信息，请参阅《AWS 一般参考指南》中的 长期访问密钥的注意事项和替代方案。

• 在 AWS 中使用多重身份验证 (MFA) - 介绍如何配置账户和 IAM 用户以要求在允许登录之前提供密码和一次性使用代码（在设备上生成）。（这有时称为双重身份验证）。

有关用于访问 Amazon Web Services 的凭证类型的一般信息，请参阅《AWS 一般参考指南》中的 AWS 安全凭证。

权限与策略

了解 IAM policy 的内部工作原理并查找有关授予权限的最佳方式的提示：

• IAM 中的策略和权限。 - 介绍用于定义权限的策略语言。介绍如何将权限附加到用户或组或是 (对于一些 AWS 产品) 资源本身。

• IAM JSON 策略元素参考 - 提供每个策略语言元素的说明和示例。

• 验证 IAM policy – 查找用于 JSON 策略验证的资源。

• IAM 基于身份的策略示例 - 说明了用于各种 AWS 产品中的常见任务的策略示例。

• AWS 策略生成器 - 通过从列表选择产品和操作来创建自定义策略。

• IAM policy simulator - 测试策略是允许还是拒绝对 AWS 的特定请求。

联合和委托

您可以为在其他位置进行了身份验证（登录）的用户授予对您 AWS 账户 中的资源的访问权限。这些可以是其他 AWS 账户 中的 IAM 用户（称为委派）、使用您企业的登录过程进行了身份验证的用户或是来自互联网身份提供程序 [如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect（OIDC）兼容的身份提供程序] 的用户。在这些情况下，用户可获取临时安全凭证以访问 AWS 资源。

• IAM 教程：使用 IAM 角色委托跨 AWS 账户的访问权限 – 指导您向其他 AWS 账户 中的 IAM 用户授予跨账户访问权限。

• 临时凭证的常见情形 - 介绍在 AWS 外部进行身份验证之后使用户经过联合身份验证进入 AWS 的方式。

IAM 和其他 AWS 产品

大多数 AWS 产品与 IAM 集成，以便您可以使用 IAM 功能帮助保护对这些产品中的资源的访问。以下资源讨论 IAM 以及一些最受欢迎的 AWS 产品的安全性。有关使用 IAM 的产品的完整列表（包括有关每个产品的更多信息的链接），请参阅 使用 IAM 的AWS服务。

将 IAM 与 Amazon EC2 结合使用

• 控制对 Amazon EC2 资源的访问 - 介绍如何使用 IAM 功能允许用户管理 Amazon EC2 实例、卷等。

• 使用实例配置文件 - 介绍如何使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序以及需要访问其他 AWS 产品的应用程序安全地提供凭证。

将 IAM 与 Amazon S3 结合使用

• 管理对 Amazon S3 资源的访问权限 - 讨论用于存储桶和对象（包括 IAM policy）的 Amazon S3 安全模型。

• 编写 IAM policy：授予 Amazon S3 存储桶中用户特定文件夹的访问权限 - 讨论如何让用户在 Amazon S3 中保护自己的文件夹。（有关 Amazon S3 和 IAM 的更多文章，请在博客文章标题下选择 S3 标签。）

将 IAM 与 Amazon RDS 结合使用

• 使用 AWS Identity and Access Management (IAM) 来管理对 Amazon RDS 资源的访问 — 介绍如何使用 IAM 控制对数据库实例、数据库快照等的访问。

• RDS 资源级别权限读本 - 介绍如何使用 IAM 控制对特定 Amazon RDS 实例的访问。

将 IAM 与 Amazon DynamoDB 结合使用

• 使用 IAM 控制对 DynamoDB 资源的访问 - 介绍如何使用 IAM 允许用户管理 DynamoDB 表和索引。

• 以下视频（8:55）说明如何为各个 DynamoDB 数据库项目或属性（或两者）提供访问控制。

一般安全实践

查找专家提示和指南，了解保护 AWS 账户 和资源的最佳方式：

• 安全、身份和合规性的最佳实践 – 深入介绍如何跨 AWS 账户 和产品管理安全性，包括有关安全架构、IAM 的使用、加密和数据安全等方面的建议。

• 身份与访问权限管理 – 该 AWS Well-Architected Framework 可帮助您了解在云中设计和运行工作负载的关键概念、设计原则和架构最佳实践。

• IAM 中的安全最佳实践 – 提供相关建议，帮助您了解使用 IAM 保护 AWS 账户 和资源的方法。

• AWS CloudTrail 用户指南 - 使用 AWS CloudTrail 可跟踪对 AWS 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。

一般 资源

浏览以下资源可了解有关 IAM 和 AWS 的更多信息。

• IAM 的产品信息 - 有关 AWS Identity and Access Management 产品的一般信息。

• 适用于 AWS Identity and Access Management 的 AWS re:Post – 访问 AWS re:Post，与 AWS 社区讨论涉及 IAM 的技术问题。

• 课程和研讨会 – 指向基于角色的专业课程和自主进度动手实验室的链接，这些课程和实验室旨在帮助您增强 AWS 技能并获得实践经验。

• AWS 开发人员中心 – 浏览教程、下载工具并了解 AWS 开发人员活动。

• AWS 开发人员工具 – 指向开发人员工具、开发工具包、IDE 工具包和命令行工具的链接，这些资源用于开发和管理 AWS 应用程序。

• 入门资源中心 – 了解如何设置 AWS 账户、加入 AWS 社区和启动您的第一个应用程序。

• 动手实践教程 – 按照分步教程在 AWS 上启动您的第一个应用程序。

• AWS 白皮书 – 指向 AWS 技术白皮书的完整列表的链接，这些资料涵盖了架构、安全性、经济性等主题，由 AWS 解决方案架构师或其他技术专家编写。

• AWS Support 中心 – 用于创建和管理 AWS Support 案例的中心。还提供指向其他有用资源的链接，如论坛、技术常见问题、服务运行状况以及AWS Trusted Advisor。

• AWS Support – 提供有关 AWS Support 的信息的主要网页，这是一个一对一的快速响应支持渠道，可以帮助您在云中构建和运行应用程序。

• 联系我们 – 用于查询有关 AWS 账单、账户、事件、滥用和其他问题的中央联系点。

• AWS 网站条款 – 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。