身份管理

要在云端安全运行，首先要确定谁可以访问您环境中的内容。本指南的这一部分就如何在 AWS 上实施可扩展、强大且集中的身份和访问管理解决方案提供了建议。

AWS 身份管理解决方案让您可以选择设计集中式身份和访问管理系统、委托身份和访问管理系统，或两者兼而有之，同时确保严格遵守安全标准。实现这些要求意味着确保正确的身份能够在适当的条件下访问正确的资源。这些身份可能是您组织内部的人员（员工身份）、AWS 内部和外部的应用程序或服务（机器身份），或者是想要以适合自己的方式（客户身份）登录您的应用程序的客户。

现在，身份被视为安全的主要边界。这意味着，正确进行身份管理可以消除未经授权的访问使用，防止意外或故意将恶意代码引入系统，并确保安全、高效和合规的运营，从而显著改善您的云安全状况。

AWS 提供容错且高度可用的身份服务，可帮助您充分满足身份管理要求。这些服务包括用于集中管理员工对多个 AWS 账户和应用程序访问的 AWS IAM IAM 身份中心、用于集中管理员工访问多个 AWS 账户和应用程序的 AWS 目录服务、用于安全 machine-to-machine 通信的 IAM 角色和 IAM 角色以及用于在网络和移动应用程序中实施安全无摩擦的客户身份和访问管理的 Amazon Cognito。

以下各节提供了有关管理不同身份类型的详细信息以及实施 AWS 身份服务的建议，以帮助您随环境扩展身份而扩展。