什麼是 IAM? - AWS Identity and Access Management

什麼是 IAM?

AWS Identity and Access Management (IAM) 是一種 Web 服務,讓您能夠安全地控制對 AWS 資源的存取。使用 IAM,您可以管理控制使用者可以存取哪些 AWS 資源的許可。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。IAM 提供控制 AWS 帳戶 身分驗證和授權所需的基礎設施。

身分

如果是建立 AWS 帳戶,您會先有一個登入身分,可以完整存取帳戶中所有 AWS 服務 與資源。此身分稱為 AWS 帳戶 根使用者,使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 IAM 使用者指南中的需要根使用者憑證的任務

使用 IAM 來設定根使用者以外的其他身分,例如管理員、分析師和開發人員,並授予他們在任務中取得成功所需的資源存取權。

存取管理

在 IAM 中設定使用者後,他們會使用其登入憑證對 AWS 進行驗證。系統會透過將登入憑證與受 AWS 帳戶 信任的主體 (IAM 使用者、聯合身分使用者、IAM 角色或應用程式) 進行比對來提供身分驗證。接下來,系統會提出請求來向主體授與資源的存取權。如果使用者已獲得資源許可,則會授予存取權以回應授權請求。舉例來說,當您第一次登入主控台且位於主控台首頁頁面時,您並未存取特定服務。選取某項服務時,系統會將授權請求傳送至該服務,該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級,以及任何可能生效中的其他政策。授權請求可透過您 AWS 帳戶 內部的主體或您信任的另一個 AWS 帳戶 提出。

獲得授權後,主體即可對您 AWS 帳戶 中的資源採取動作或執行操作。舉例來說,主體可以啟動新的 Amazon Elastic Compute Cloud 執行個體、修改 IAM 群組成員資格或刪除 Amazon Simple Storage Service 儲存貯體。

提示

AWS 培訓和認證提供一個 10 分鐘的 IAM 影片簡介:

AWS Identity and Access Management 簡介

服務可用性

與許多其他 AWS 服務一樣,IAM 具備最終一致性。IAM 可跨 Amazon 全球資料中心內多部伺服器複寫資料,來達到高可用性。如果變更一些資料的請求成功完成,則該變更經認可並安全儲存。然而,該變更必須跨 IAM 複寫,這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中,我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外,在生產工作流程套用這些變更之前,請務必確認變更已完成傳播。如需詳細資訊,請參閱我所做的變更不一定都會立刻生效

服務成本資訊

AWS Identity and Access Management (IAM)、AWS IAM Identity Center 以及 AWS Security Token Service (AWS STS) 是 AWS 帳戶提供的功能,無須額外付費。只有當您使用 IAM 使用者或 AWS STS 暫時安全憑證存取其他 AWS 服務時才會收費。

會提供 IAM Access Analyzer 外部存取分析,無需額外付費。不過,您需支付未使用的存取分析和客戶政策檢查的費用。如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 IAM Access Analyzer 定價

如需有關其他 AWS 產品的定價資訊,請參閱 Amazon Web Services 定價頁面

與其他 AWS 服務整合

IAM 可與許多 AWS 服務整合。如需可與 IAM 搭配使用的 AWS 服務以及服務支援的 IAM 功能的清單,請參閱可搭配 IAM 運作的 AWS 服務