Identity and Access Management - AWS 上的 DevOps 简介

Identity and Access Management

AWS Identity and Access Management(IAM)定义了用于管理对 AWS 资源的访问的控制和策略。使用 IAM,您可以创建用户和群组,并定义对各种 DevOps 服务的权限。

除了用户之外,各种服务可能还需要访问 AWS 资源。例如,您的 CodeBuild 项目可能需要访问权限才能在 Amazon Elastic Container Registry(Amazon ECR) 中存储 Docker 镜像,并且需要权限才能写入 Amazon ECR。这些类型的权限由称为服务角色的特殊类型角色定义。

IAM 是 AWS 安全基础设施的一个组成部分。借助 IAM,您可以集中管理组、用户、服务角色和安全凭证(例如密码、访问密钥),以及对用户可以访问何种 AWS 服务和资源进行控制的许可策略。IAM 策略允许您定义权限集。然后,可以将此策略附加到角色用户服务以定义其权限。您还可以使用 IAM 创建在所需的 DevOps 策略中广泛使用的角色。在某些情况下,以编程方式 AssumeRole 而不是直接获取权限是完全合理的。当服务或用户担任角色时,他们将获得临时凭证来访问通常没有访问权限的服务。