身份和访问管理

AWS Identity and Access Management(IAM) 定义了用于管理 AWS 资源访问的控制和策略。使用 IAM，您可以创建用户和群组并定义对各种 DevOps 服务的权限。

除了用户之外，各种服务可能还需要访问 AWS 资源。例如，您的 CodeBuild 项目可能需要访问权限才能将 Docker 镜像存储在亚马逊弹性容器注册表 (Amazon ECR) 中，并且需要写入亚马逊 ECR 的权限。这些类型的权限由称为服务角色的特殊类型角色定义。

IAM 是 AWS 安全基础设施的一个组成部分。借助 IAM，您可以集中管理群组、用户、服务角色和安全证书，例如密码、访问密钥和控制用户可以访问哪些 AWS 服务和资源的权限策略。IAM 策略允许您定义权限集。然后，可以将此策略附加到角色、用户或服务，以定义其权限。

您还可以使用 IAM 创建在所需 DevOps策略中广泛使用的角色。在某些情况下，以编程方式AssumeRole而不是直接获取权限是完全合理的。当服务或用户担任角色时，他们将获得临时证书，以访问他们通常无权访问的服务。