AWS Identity and Access Management

在您创建 AWS 账户时，会为您的 AWS 账户自动创建一个根用户。此用户账户对您 AWS 账户中的所有 AWS 服务和资源具有完全访问权限。您应当仅将此账户用于初次创建额外角色和用户账户，以及需要它的管理活动，而不应用于日常任务。AWS 建议您从开始就应用最小特权原则：为不同的任务定义不同用户账户和角色，并且指定完成每项任务所需的最小权限集。这种方法是一种机制，用于调整 GDPR 中引入的一个关键概念：通过设计保护数据。AWS Identity and Access Management（IAM）是一项 Web 服务，可用于安全地控制对您的 AWS 资源的访问。

用户和角色使用特定权限定义 IAM 身份。授权用户可以代入一个 IAM 角色来执行特定任务。代入角色时将创建临时凭证。例如，您可以使用 IAM 角色安全地为在 Amazon Elastic Compute Cloud（Amazon EC2）中运行的应用程序提供访问其他 AWS 资源所需的临时凭证，如 Amazon S3 存储桶，Amazon Relational Database Service（Amazon RDS）或 Amazon DynamoDB 数据库。同样，执行角色为 AWS Lambda 函数提供访问其他 AWS 服务和资源所需的权限，如执行日志流式传输或从 Amazon Simple Queue Service（Amazon SQS）队列读取消息的 Amazon CloudWatch Logs。创建角色时，您需要向角色添加策略来定义授权。

为了帮助客户监控资源策略，并识别他们可能不想要的具有公有或跨账户访问权限的资源，可以启用 IAM 访问分析器来生成全面的发现结果，帮助识别可以从 AWS 账户外部访问的资源。IAM 访问分析器使用数学逻辑和推论对资源策略进行评估，进而确定策略允许的可能访问路径。IAM 访问分析器会持续监控新的或更新策略，分析使用针对 IAM 角色的策略授予的权限--同时也会分析针对 Amazon S3 存储桶、AWS Key Management Service（AWS KMS）密钥、Amazon SQS 队列和 Lambda 函数等服务资源的策略。

如果存在已配置为允许 Internet 上的任何人或其他 AWS 账户（包括组织外部的 AWS 账户）访问的存储桶，S3 访问分析器会向您发出提醒。在 Amazon S3 访问分析器中查看存在风险的存储桶时，只需单击一下即可阻止对存储桶的所有公有访问。AWS 建议您阻止所有对存储桶的访问，除非您需要公有访问才能支持特定使用案例。在阻止所有公有访问之前，请确保您的应用程序在没有公有访问权限的情况下可以继续正常工作。有关更多信息，请参阅使用 Amazon S3 阻止公有访问。

IAM 还提供上次访问的信息，帮助您识别未使用的权限，以便您可以将其从关联的主体中删除。使用上次访问的信息，可以细化您的策略，仅允许访问需要的服务和操作。这有助于更好地遵循和应用最低权限的最佳实践。 您可以查看 IAM 中或整个 AWS Organizations 环境中存在的实体或策略的上次访问的信息。