什麼是 IAM？

AWS Identity and Access Management (IAM) 是可協助您安全控制 AWS 資源存取的 Web 服務。使用 IAM，您可以集中管理許可，以控制使用者可以存取的 AWS 資源。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。

當您建立時 AWS 帳戶，您會從一個登入身分開始，該身分可完整存取該帳戶中的所有資源 AWS 服務 和資源。此身分稱為 AWS 帳戶 root 使用者，可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 需要根使用者憑證的任務。

目錄

• IAM 影片簡介
• IAM 功能
• 存取 IAM
• IAM 的使用時機為何？
• IAM 的運作方式
• AWS 身分管理概觀：使用者
• 存取管理概述：許可和政策
• ABAC 是做什麼用的 AWS？
• IAM 外部的安全功能
• 快速連結到常見任務
• IAM 主控台搜尋
• 建立 AWS Identity and Access Management 資源 AWS CloudFormation
• 將 AWS CloudShell 與 AWS Identity and Access Management 搭配使用
• 搭配 AWS 開發套件使用 IAM

IAM 影片簡介

AWS 培訓和認證提供了一個 10 分鐘的 IAM 視頻介紹：

簡介 AWS Identity and Access Management

IAM 功能

IAM 為您提供以下功能：

共用存取您的 AWS 帳戶

您可以授與其他人管理和使用 AWS 帳戶資源的許可，而無需共用您的密碼或存取金鑰。

精密許可

您可以對不同的人員授與不同資源的不同許可。例如，您可能允許某些使用者完全存取 Amazon 彈性運算雲端 (Amazon EC2)、亞馬遜簡單儲存服務 (亞馬遜 S3)、亞馬遜 DynamoDB、Amazon Redshift 和其他服務。 AWS 對於其他使用者，您可以只允許對一些 S3 儲存貯體進行唯讀存取，或僅具有管理一些 EC2 執行個體的許可，或存取您的帳單資訊，但不能進行任何其他動作。

為在 Amazon EC2 上執行的應用程式安全存取 AWS 資源

您可以使用 IAM 功能為在 EC2 執行個體上執行的應用程式安全地提供憑證。這些認證為您的應用程式提供存取其他 AWS 資源的權限。範例包括 S3 儲存貯體和 DynamoDB 表格。

多重要素驗證 (MFA)

您可以為帳戶和個別使用者新增雙重要素身分驗證，以提高安全性。使用 MFA，您或您的使用者不僅必須提供密碼或存取金鑰才能使用您的帳戶，還必須提供來自特殊設定裝置的代碼。如果您已將 FIDO 安全性金鑰與其他服務搭配使用，且該金鑰具有 AWS 受支援的組態，則可以使 WebAuthn 用 MFA 安全性。如需詳細資訊，請參閱 使用 FIDO 安全性金鑰的支援組態。

聯合身分

您可以允許已經在其他地方擁有密碼的使用者（例如，在您的公司網路中或從網際網路身分提供者取得）取得您 AWS 帳戶 的暫時存取權。

身分資訊保證

如果您使用 AWS CloudTrail，則會收到日誌記錄，其中包含有關在您的帳戶中請求資源的資訊。該資訊是根據 IAM 身分。

PCI DSS 合規

IAM 支援處理、儲存、傳輸商家或服務供應商的信用卡資料，並且已驗證合規於支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊，包括如何要求 AWS PCI 相容性 Package 的複本，請參閱 PCI DSS 等級 1。

與許多 AWS 服務集成

如需與 IAM 搭配使用的 AWS 服務清單，請參閱AWS 與 IAM 搭配使用的服務。

最終一致

IAM 與許多其他 AWS 服務一樣，最終是一致的。IAM 可跨 Amazon 全球資料中心內多部伺服器複寫資料，來達到高可用性。如果變更一些資料的請求成功完成，則該變更經認可並安全儲存。然而，該變更必須跨 IAM 複寫，這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中，我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外，在生產工作流程套用這些變更之前，請務必確認變更已完成傳播。如需詳細資訊，請參閱 我所做的變更不一定都會立刻生效。

免費使用

AWS Identity and Access Management （IAM）和 AWS Security Token Service （AWS STS）是您 AWS 帳戶的功能，無需額外付費。只有當您使用 IAM 使用者或 AWS STS 臨時安全登入資料存取其他 AWS 服務時，才會向您收費。如需其他 AWS 產品定價的相關資訊，請參閱 Amazon Web Services 定價頁面。

存取 IAM

您可以使用下 AWS Identity and Access Management 列任一方式使用。

AWS Management Console

主控台是用於管理 IAM 和 AWS 資源的瀏覽器介面。如需有關透過主控台存取 IAM 的詳細資訊，請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS。

AWS 命令行工具

您可以使用 AWS 命令列工具在系統的命令列發出指令，以執行 IAM 和工 AWS 作。使用命令列可以比主控台更快，也更便利。如果您想要建置執行工作的指令碼，指令行 AWS 工具也很有用。

AWS 提供兩組指令行工具：AWS Command Line Interface(AWS CLI) 和 AWS Tools for Windows PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI，請參閱《使AWS Command Line Interface 用指南》。若要取得有關安裝和使用 Windows 工具的資訊 PowerShell，請參閱使用AWS Tools for Windows PowerShell 者指南。

登入主控台後，您可以使用 AWS CloudShell 瀏覽器執行 CLI 或 SDK 命令。存取資 AWS 源的權限取決於您用來登入主控台的認證。根據您的經驗，您可能會發現 CLI 是管理 AWS 帳戶 的更有效率的方法。如需更多資訊，請參閱 將 AWS CloudShell 與 AWS Identity and Access Management 搭配使用

AWS 開發套件

AWS 提供 SDK（軟件開發工具包），其中包含各種編程語言和平台（Java，Python，紅寶石，.NET，iOS，安卓等）的示例代碼。SDK 提供了一種方便的方式來建立 IAM 和. AWS 例如，開發套件會負責的工作諸如以密碼演算法簽署請求、管理錯誤以及自動重試請求。如需 AWS SDK 的相關資訊，包括如何下載和安裝這些軟體開發套件，請參閱 Amazon Web Services 工具頁面。

IAM 查詢 API

您可以使用 IAM 查詢 API 以 AWS 程式設計方式存取 IAM，這可讓您直接向服務發出 HTTPS 請求。使用查詢 API 時，您必須加入程式碼，才能夠使用您的登入資料以數位方式簽署請求。如需詳細資訊，請參閱 使用 HTTP 查詢請求呼叫 IAM API 和 IAM API 參考。