IAM 的文件歷史紀錄 - AWS Identity and Access Management

IAM 的文件歷史紀錄

下表說明 IAM 的主要文件更新。

變更描述日期

U2F 棄用和 WebAuthn/FIDO 更新

已移除提及 U2F 作為 MFA 選項的內容,並新增了有關 WebAuthn、FIDO2 和 FIDO 安全金鑰的資訊。

2022 年 5 月 31 日

IAM 中彈性的更新

當某個事件中斷 AWS 區域 之間的通訊時,新增有關維持對 IAM 憑證進行存取的資訊。

2022 年 5 月 16 日

資源的新全域條件金鑰

現在可以根據包含您的資源的 AWS Organizations 中的帳戶、組織單位 (OU) 或組織來控制資源的存取。您可以在 IAM 政策中使用 aws:ResourceAccountaws:ResourceOrgID 以及 aws:ResourceOrgPaths 全域條件金鑰。

2022 年 4 月 27 日

適用於使用 AWS SDK 的 IAM 程式碼範例

新增的程式碼範例示範如何使用 IAM 搭配 AWS 軟體開發套件 (SDK)。這些範例分為程式碼摘錄 (示範如何呼叫個別服務函數) 和範例 (示範如何透過呼叫相同服務中的多個函數來完成特定任務)。

2022 年 4 月 7 日

更新政策評估邏輯流程圖

更新政策評估邏輯流程圖,以及決定是否允許或拒絕帳戶中的請求區段中的相關文字。

2021 年 11 月 17 日

更新安全最佳實務

新增了有關建立 IAM 管理員使用者而非使用根使用者憑證的資訊,移除了使用使用者群組指派許可給 IAM 使用者的最佳實務,以及澄清何時使用受管政策而非內嵌政策。

2021 年 10 月 5 日

更新資源型政策的政策評估邏輯主題

新增有關資源型政策和相同帳戶中不同委託人類型影響的資訊。

2021 年 10 月 5 日

更新單一值和多重值條件金鑰

現在會更詳細地說明單一值和多重值條件金鑰之間的差異。值類型新增至每個 AWS 全域條件內容金鑰

2021 年 9 月 30 日

IAM Access Analyzer 支援 Amazon S3 多區域存取點

IAM Access Analyzer 可識別允許公有和跨帳戶存取的 Amazon S3 儲存貯體,包括使用 Amazon S3 多區域存取點

2021 年 9 月 2 日

AWS 受管政策更新 - 更新至現有政策

IAM Access Analyzer 已更新現有 AWS 受管政策。

2021 年 9 月 2 日

支援更多服務用於動作層級政策產生

IAM Access Analyzer 可產生具有動作層級存取活動資訊的 IAM 政策,用於其他 AWS 服務。

2021 年 8 月 24 日

產生跨帳戶追蹤的 IAM 政策

您現在可以使用 IAM Access Analyzer 基於您的存取活動使用不同帳戶中的 AWS CloudTrail 追蹤來產生精細政策,例如,一個集中 AWS Organizations 追蹤。

2021 年 8 月 18 日

其他 IAM Access Analyzer 政策檢查

IAM Access Analyzer 透過新增對 IAM 政策中包含的條件進行驗證的新政策檢查,來延伸政策驗證。這些檢查會分析政策陳述式中的條件區塊,並報告安全性警告、錯誤和建議,以及可採取行動的建議。

IAM Access Analyzer新增了下列政策檢查:

2021 年 6 月 29 日

對更多服務提供上次存取動作支援

您現在可以在 IAM 主控台中檢視關於 IAM 委託人上次針對下列服務使用動作的上次存取動作資訊:Amazon EC2、IAM、Lambda 和 Amazon S3 管理動作。您也可以使用 AWS CLI 或 AWS API 來擷取資料報告。您可以使用此資訊來辨別不必要的許可,以便您能夠微調您的 IAM 政策以更完善地遵循最低權限的原則。

2021 年 4 月 19 日

監控並控制使用擔任角色所採取的動作

管理員可以將 IAM 角色設定為要求身分傳遞來源身分,其在 AWS CloudTrail 中登入。檢閱來源身分資訊可協助管理員判斷曾使用擔任角色工作階段執行動作者。

2021 年 4 月 13 日

根據存取活動產生 IAM 政策

您現在可以使用 IAM Access Analyzer 根據您在 AWS CloudTrail 中的存取活動產生精細政策。

2021 年 4 月 7 日

IAM Access Analyzer 政策檢查

IAM Access Analyzer 現在會在政策編寫期間提供超過 100 項政策檢查及可採取行動的建議。

2021 年 3 月 16 日

擴充的政策驗證選項

IAM 主控台、AWS API 以及 AWS CLI 所提供的擴充政策驗證使用 IAM Access Analyzer 的政策檢查來協助您編寫安全且功能完善的 JSON 政策。

2021 年 3 月 15 日

標記 IAM 資源

現在,您可以使用標籤鍵值對標籤其他 IAM 資源。

2021 年 2 月 11 日

IAM 使用者的預設密碼政策

如果您未為 AWS 帳戶設定自訂密碼政策,IAM 使用者密碼現在必須符合預設 AWS 密碼政策。

2020 年 11 月 18 日

AWS 服務的動作、資源和條件金鑰頁面已移動

每個 AWS 服務都可以定義在 IAM 政策中使用的動作、資源和條件內容金鑰。您現在可以在服務授權參考中找到 AWS 服務清單及其動作、資源和條件內容金鑰。

2020 年 11 月 16 日

IAM 使用者的較長角色工作階段持續時間

IAM 使用者現在於 AWS Management Console 中切換角色時擁有更長的角色工作階段持續時間,從而減少由於工作階段過期而造成的中斷。使用者會被授予針對角色設定的工作階段持續時間上限,或 IAM 使用者工作階段中的剩餘時間,以較少者為準。

2020 年 7 月 24 日

使用服務配額 (Service Quotas) 來請求 IAM 實體的快速增加

您可以使用 Service Quotas 主控台,為可調整的 IAM 配額請求增加配額。現在,在 Service Quotas 中有些增加會自動核准,且在幾分鐘內您的帳戶便可使用。較大的請求會提交給 AWS Support。

2020 年 6 月 25 日

IAM 中的上次存取資訊現在包括 Amazon S3 管理動作

除了服務上次存取資訊外,您現在還可以在 IAM 主控台中檢視 IAM 委託人上次使用 Amazon S3 動作的相關資訊。您也可以使用 AWS CLI 或 AWS API 來擷取資料報告。此報告包含委託人上次嘗試存取的允許服務和動作,以及何時存取的相關資訊。您可以使用此資訊來辨別不必要的許可,以便您能夠微調您的 IAM 政策以更完善地遵循最低權限的原則。

2020 年 6 月 3 日

新增安全性章節

安全性章節可協助您了解如何設定 IAM 和 AWS STS,以達成安全性與合規目標。您也會了解如何使用其他 AWS 服務來協助監控並保護 IAM 資源。

2020 年 4 月 29 日

sts:RoleSessionName

您現在可以撰寫根據委託人擔任角色時所指定的工作階段名稱而授予許可的政策。

2020 年 4 月 21 日

AWS 登入頁面更新

登入主要 AWS 登入頁面時,您無法選擇以 AWS 帳戶 根使用者或 IAM 使用者身分登入。當您這麼做時,頁面上的標籤會指出您是否應該提供根使用者電子郵件地址或您的 IAM 使用者帳戶資訊。本文件包含更新的螢幕擷取畫面,以協助您了解 AWS 登入頁面。

2020 年 3 月 4 日

aws:ViaAWSService 和 aws:CalledVia 條件金鑰

您現在可以寫入政策,限制服務是否能代表 IAM 委託人 (使用者或角色) 提出請求。委託人向 AWS 服務提出請求時,該服務可能會使用委託人的憑證,向其他服務提出後續請求。若任何服務使用委託人憑證提出請求,請使用 aws:ViaAWSService 條件金鑰來匹配。若特定服務使用委託人憑證提出請求,請使用 aws:CalledVia 條件金鑰來匹配。

2020 年 2 月 20 日

政策模擬器新增了許可界限的支援

您現在可以使用 IAM 政策模擬器,測試許可界限對 IAM 實體的效果。

2020 年 1 月 23 日

跨帳戶政策評估

您現在可以了解 AWS 如何評估跨帳戶存取的政策。當信任帳戶中的資源包含以資源為基礎的政策,而允許其他帳戶中的委託人存取該資源時,就會發生這種情況。兩個帳戶中都必須允許此請求。

2020 年 1 月 2 日

工作階段標籤

現在當您在 AWS STS 中擔任角色或聯合使用者時,可以包含標籤。當您執行 AssumeRoleGetFederationToken 操作時,您可以將工作階段標籤傳遞為屬性。當您執行 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 操作時,您可將屬性從公司身分傳遞至 AWS。

2019 年 11 月 22 日

在 AWS Organizations 中控制對 AWS 帳戶群組的存取

您現在可以參考 IAM 政策 AWS Organizations 中的組織單位 (OU)。如果您使用 Organizations 將帳戶組織成 OU,即可在授與資源存取權之前,要求委託人從屬於特定 OU。委託人包括 AWS 帳戶 根使用者、IAM 使用者和 IAM 角色。若要執行此作業,請在政策的 aws:PrincipalOrgPaths 條件金鑰中指定 OU 路徑。

2019 年 11 月 20 日

上次使用的角色

您現在可以檢視上次使用角色的日期、時間和區域。此資訊也可協助您識別帳戶中未使用的角色。您可以使用 AWS Management Console、AWS CLI 和 AWS API 檢視上次使用角色的時間資訊。

2019 年 11 月 19 日

更新全域條件內容金鑰頁面

您現在可以了解每個全域條件金鑰包含在請求內容中的時機。您也可以使用頁面目錄 (TOC) 更輕易地導覽至每個金鑰。頁面上的資訊可協助您撰寫更精確的政策。例如,若您的員工搭配 IAM 角色使用聯合,建議您使用 aws:userId 金鑰而非 aws:userName 金鑰。aws:userName 金鑰僅適用於 IAM 使用者而非角色。

2019 年 10 月 6 日

AWS 中的 ABAC

了解屬性類型存取控制 (ABAC) 在 AWS 中使用標籤的運作方式,以及其和傳統 AWS 授權模型的比較。使用 ABAC 教學來了解如何建立和測試政策,允許具備委託人標籤的 IAM 角色存取具備相符標籤的資源。此策略允許個人僅對其任務所需的 AWS 資源進行檢視或編輯。

2019 年 10 月 3 日

AWS STS GetAccessKeyInfo 操作

您可以檢閱程式碼中的 AWS 存取金鑰,以判斷這些金鑰是否來自您擁有的帳戶。您可以使用 aws sts get-access-key-info AWS CLI 命令或 GetAccessKeyInfo AWS API 操作來傳遞存取金鑰 ID。

2019 年 7 月 24 日

檢視 IAM 中的 Organizations 服務上次存取的資訊

您現在可以在 IAM 主控台的 AWS Organizations 區段檢視 AWS Organizations 實體或政策的上次存取資訊。您也可以使用 AWS CLI 或 AWS API 來擷取資料報告。這些資料包含 Organizations 帳戶中的委託人最後一次嘗試存取哪些允許的服務以及何時存取的相關資訊。您可以使用此資訊來找出不必要的許可,以便您能夠微調 Organizations 政策以更完善地遵循最低權限的原則。

2019 年 6 月 20 日

使用受管政策做為工作階段政策

當您擔任角色時,您現在可以傳遞最多 10 個受管政策 ARN。這可讓您限制該角色臨時憑證的許可。

2019 年 5 月 7 日

全域端點的工作階段權杖的 AWS STS 區域相容性

您現在可以選擇是否使用版本 1 或版本 2 的全域端點權杖。版本 1 權杖僅在預設可用的 AWS 區域中有效。這些權杖不適用於手動啟用的區域,例如亞太區域 (香港)。版本 2 權杖在所有區域都有效。不過,版本 2 權杖較長且可能會影響暫時存放權杖的系統。

2019 年 4 月 26 日

允許啟用和停用 AWS 區域

您現在可以建立可讓管理員啟用和停用亞太區域 (香港) (ap-east-1)的政策。

2019 年 4 月 24 日

IAM 使用者的「我的安全憑證」頁面

IAM 使用者現在可以在 My Security Credentials (我的安全憑證) 頁面上管理其所有憑證。此 AWS Management Console 頁面會顯示如帳戶 ID 和正式使用者 ID 的帳戶資訊。使用者也可以檢視和編輯其密碼、存取金鑰、X.509 憑證、SSH 金鑰和 Git 憑證。

2019 年 1 月 24 日

存取 Advisor API

您現在可以使用 AWS CLI 和 AWS API 來檢視上次存取資訊。

2018 年 12 月 7 日

標記 IAM 使用者和角色

您現在可以使用 IAM 標籤,以使用標籤鍵值組將自訂屬性新增到身分 (IAM 使用者或角色)。您也可以使用標籤來控制身分對資源的存取權或控制哪些標籤可以連接到身分。

2018 年 11 月 14 日

U2F 安全金鑰

您現在可以在登入 AWS Management Console 時使用 U2F 安全金鑰的多重要素驗證 (MFA) 選項。

2018 年 9 月 25 日

支援 Amazon VPC 端點

您現在可以在美國西部 (奧勒岡) 區域中 AWS STS 的和 VPC 之間建立私有連線。

2018 年 7 月 31 日

許可界限

新功能可讓您更輕鬆地授與信任的員工管理 IAM 許可的能力,無需授與完整的 IAM 管理存取許可。

2018 年 7 月 12 日

aws:PrincipalOrgID

新的條件金鑰提供更簡單的方法,以控制對 AWS 資源的存取,做法是指定 IAM 委託人的 AWS 組織。

2018 年 5 月 17 日

aws:RequestedRegion

新的條件金鑰提供更簡單的方法,以使用 IAM 政策來控制對 AWS 區域的存取。

2018 年 4 月 25 日

增加 IAM 角色的工作階段持續時間

IAM 角色現在可以有 12 小時的工作階段持續時間。

2018 年 3 月 28 日

更新角色建立工作流程

新工作流程改善建立信任關係及連接許可至角色的處理程序。

2017 年 9 月 8 日

AWS 帳戶登入程序

更新的 AWS 登入經驗,讓根使用者和 IAM 使用者能夠使用 AWS Management Console 首頁上的 Sign In to the Console (登入主控台) 連結。

2017 年 8 月 25 日

範例 IAM 政策

文件更新推出超過 30 個範例政策。

2017 年 8 月 2 日

IAM 最佳實務

資訊新增到 IAM 主控台的Users (使用者) 區段,可更輕鬆遵循 IAM 最佳實務。

2017 年 7 月 5 日

Auto Scaling 資源

資源層級許可能夠控制 Auto Scaling 資源的存取和許可。

2017 年 5 月 16 日

Amazon RDS for MySQL 和 Amazon Aurora 資料庫

資料庫管理員可以將資料庫使用者與 IAM 使用者與角色相關聯,因此能從單一位置管理使用者對所有 AWS 資源的存取。

2017 年 4 月 24 日

服務連結角色

服務連結角色提供更輕鬆且更安全的方式來指派許可給 AWS 服務。

2017 年 4 月 19 日

政策摘要

新的政策摘要讓您更輕鬆了解 IAM 政策中的許可。

2017 年 3 月 23 日