什麼是 IAM？

AWS Identity and Access Management (IAM) 是一種 Web 服務，讓您能夠安全地控制對 AWS 資源的存取。使用 IAM，您可以集中管理控制使用者可以存取哪些 AWS 資源的許可。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。

如果是建立 AWS 帳戶，您會先有一個登入身分，可以完整存取帳戶中所有 AWS 服務 與資源。此身分稱為 AWS 帳戶 根使用者，使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單，請參閱 需要根使用者憑證的任務。

目錄

• IAM 影片簡介
• IAM 功能
• 存取 IAM
• IAM 的使用時機為何？
• IAM 的運作方式
• AWS 身分管理概觀：使用者
• 存取管理概述：許可和政策
• AWS 的 ABAC 是什麼？
• IAM 外部的安全功能
• 快速連結到常見任務
• IAM 主控台搜尋
• 將 AWS CloudShell 與 AWS Identity and Access Management 搭配使用
• 搭配 AWS SDK 使用 IAM

IAM 影片簡介

AWS 培訓和認證提供一個 10 分鐘的 IAM 影片簡介：

簡介 AWS Identity and Access Management

IAM 功能

IAM 為您提供以下功能：

共用存取您的 AWS 帳戶

您可以授與其他人管理和使用 AWS 帳戶資源的許可，而無需共用您的密碼或存取金鑰。

精密許可

您可以對不同的人員授與不同資源的不同許可。例如，您可能允許一些使用者完整存取 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服務。對於其他使用者，您可以只允許對一些 S3 儲存貯體進行唯讀存取，或僅具有管理一些 EC2 執行個體的許可，或存取您的帳單資訊，但不能進行任何其他動作。

安全存取在 Amazon EC2 上執行之應用程式的 AWS 資源

您可以使用 IAM 功能為在 EC2 執行個體上執行的應用程式安全地提供憑證。這些憑證為您的應用程式提供存取其他 AWS 資源的許可。範例包括 S3 儲存貯體和 DynamoDB 表格。

多重要素驗證 (MFA)

您可以為帳戶和個別使用者新增雙重要素身分驗證，以提高安全性。使用 MFA，您或您的使用者不僅必須提供密碼或存取金鑰才能使用您的帳戶，還必須提供來自特殊設定裝置的代碼。如果您已經將 FIDO 安全金鑰與其他服務搭配使用，並且該金鑰具有 AWS 支援的組態，則您可以使用 WebAuthn 提高 MFA 安全。如需更多詳細資訊，請參閱 使用 FIDO 安全性金鑰的支援組態。

聯合身分

您可以允許已經在其他地方擁有密碼的使用者（例如，在您的公司網路中或從網際網路身分提供者取得）取得您 AWS 帳戶 的暫時存取權。

身分資訊保證

如果您使用 AWS CloudTrail，則會收到日誌記錄，其中包含有關在您的帳戶中請求資源的資訊。該資訊是根據 IAM 身分。

PCI DSS 合規

IAM 支援處理、儲存、傳輸商家或服務供應商的信用卡資料，並且已驗證合規於支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊，包括如何索取 AWS PCI 合規套裝服務的副本，請參閱 PCI DSS 第 1 級。

與許多 AWS 服務整合

如需與 IAM 相容之 AWS 服務的清單，請參閱 可搭配 IAM 運作的 AWS 服務。

最終一致

與許多其他 AWS 服務一樣，IAM 具備最終一致性。IAM 可跨 Amazon 全球資料中心內多部伺服器複寫資料，來達到高可用性。如果變更一些資料的請求成功完成，則該變更經認可並安全儲存。然而，該變更必須跨 IAM 複寫，這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中，我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外，在生產工作流程套用這些變更之前，請務必確認變更已完成傳播。如需更多詳細資訊，請參閱 我所做的變更不一定都會立刻生效。

免費使用

AWS Identity and Access Management (IAM) 及 AWS Security Token Service (AWS STS) 是 AWS 帳戶提供的功能，無須額外付費。只有當您使用 IAM 使用者或 AWS STS 暫時安全憑證存取其他 AWS 服務時才會收費。如需有關其他 AWS 產品的定價資訊，請參閱 Amazon Web Services 定價頁面。

存取 IAM

您可以透過以下任何方式來使用 AWS Identity and Access Management。

AWS Management Console

主控台是一種管理 IAM 和 AWS 資源的瀏覽器界面。如需有關透過主控台存取 IAM 的詳細資訊，請參閱 《AWS 登入 使用者指南》 中的 如何登入 AWS。

AWS 命令列工具

您可以使用 AWS 命令列工具在系統的命令列發出命令，以執行 IAM 和 AWS 任務。使用命令列可以比主控台更快，也更便利。若您想要建構執行 AWS 任務的指令碼，命令列工具也非常實用。

AWS 提供兩組命令列工具：AWS Command Line Interface (AWS CLI) 和 AWS Tools for Windows PowerShell。如需安裝與使用 AWS CLI 的詳細資訊，請參閱 AWS Command Line Interface 使用者指南。如需安裝和使用 Tools for Windows PowerShell 的詳細資訊，請參閱 AWS Tools for Windows PowerShell 使用者指南。

登入主控台後，您可以在瀏覽器中使用 AWS CloudShell 來執行 CLI 或軟體開發套件命令。存取 AWS 資源的許可以您用於登入主控台的憑證為基礎。根據您的經驗，您可能會發現 CLI 是管理 AWS 帳戶 的更有效率的方法。如需詳細資訊，請參閱 將 AWS CloudShell 與 AWS Identity and Access Management 搭配使用

AWS SDK

AWS 提供了 SDK (軟體開發套件)，該套件包含適用於各種程式設計語言和平台 (Java、Python、Ruby、.NET、iOS、Android 等) 的程式庫及範本程式碼。開發套件提供了便捷方法來建立對 IAM 和 AWS 的程式設計方式存取。例如，開發套件會負責的工作諸如以密碼演算法簽署請求、管理錯誤以及自動重試請求。如需 AWS 開發套件的資訊 (包括如何下載並安裝開發套件)，請參閱 Amazon Web Services 工具頁面。

IAM 查詢 API

您可以使用 IAM 查詢 API (可直接向服務發出 HTTPS 請求)，以程式設計方式存取 IAM 和 AWS。使用查詢 API 時，您必須加入程式碼，才能夠使用您的登入資料以數位方式簽署請求。如需詳細資訊，請參閱 使用 HTTP 查詢請求呼叫 IAM API 和 IAM API 參考。