什麼是 IAM? - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 IAM?

AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。透過 IAM,您可以管理許可,以控制使用者可以存取哪些 AWS 資源。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。IAM 提供控制 AWS 帳戶身分驗證和授權所需的基礎設施。

身分

當您建立 時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取 帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 Theroot 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 IAM 使用者指南中的需要根使用者憑證的任務

使用 IAM 來設定根使用者以外的其他身分,例如管理員、分析師和開發人員,並授予他們在任務中取得成功所需的資源存取權。

存取管理

在 IAM 中設定使用者後,他們會使用其登入憑證對 AWS進行驗證。系統會透過將登入憑證與受 AWS 帳戶信任的主體 (IAM 使用者、聯合身分使用者、IAM 角色或應用程式) 進行比對來提供身分驗證。接下來,系統會提出請求來向主體授與資源的存取權。如果使用者已獲得資源許可,則會授予存取權以回應授權請求。舉例來說,當您第一次登入主控台且位於主控台首頁頁面時,您並未存取特定服務。選取某項服務時,系統會將授權請求傳送至該服務,該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級,以及任何可能生效中的其他政策。授權請求可由您內部的委託人 AWS 帳戶 或您信任 AWS 帳戶 的委託人提出。

獲得授權後,主體即可對您 AWS 帳戶中的資源採取動作或執行操作。例如,委託人可以啟動新的 Amazon Elastic Compute Cloud 執行個體、修改 IAM 群組成員資格或刪除儲存 Amazon Simple Storage Service 貯體。

提示

AWS 訓練和認證提供 IAM 的 10 分鐘影片簡介:

AWS Identity and Access Management簡介

服務可用性

IAM 與許多 AWS 其他服務一樣,最終是一致的。IAM 可跨 Amazon 全球資料中心內多部伺服器複寫資料,來達到高可用性。如果變更一些資料的請求成功完成,則該變更經認可並安全儲存。然而,該變更必須跨 IAM 複寫,這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中,我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外,在生產工作流程套用這些變更之前,請務必確認變更已完成傳播。如需詳細資訊,請參閱我所做的變更不一定都會立刻生效

服務成本資訊

AWS Identity and Access Management (IAM)、 AWS IAM Identity Center 和 AWS Security Token Service (AWS STS) 是您 AWS 帳戶的功能,無需額外費用。只有在您使用 IAM 使用者或 AWS STS 臨時安全登入資料存取其他服務時 AWS ,才會向您收取費用。

會提供 IAM Access Analyzer 外部存取分析,無需額外付費。不過,您需支付未使用的存取分析和客戶政策檢查的費用。如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 IAM Access Analyzer 定價

如需其他 AWS 產品定價的資訊,請參閱 Amazon Web Services 定價頁面

與其他 AWS 服務的整合

IAM 與許多 AWS 服務整合。如需使用 AWS IAM 和 IAM 功能的服務清單,請參閱 AWS 使用 IAM 的 服務