什麼是IAM? - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是IAM?

AWS Identity and Access Management (IAM) 是一項可協助您安全控制 AWS 資源存取的 Web 服務。使用IAM,您可以管理控制使用者可以存取哪些 AWS 資源的權限。您可IAM以用來控制誰要經過驗證 (登入) 和授權 (具有權限) 來使用資源。IAM提供控制您的 AWS 帳戶.

身份

當您建立時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取該帳戶中的所有資源 AWS 服務 和資源。此身分稱為 AWS 帳戶 root 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以 root 使用者身分登入的完整工作清單,請參閱《使用指南》中的〈需要 root 使用者認證的IAM工

用IAM於設定 root 使用者以外的其他身分識別,例如管理員、分析師和開發人員,並授予他們存取權限,以便他們成功完成工作所需的資源。

存取管理

在設定使用者之後IAM,他們會使用其登入認證來進行驗證 AWS。透過將登入認證與受信任的主體 (IAM使用者、同盟使用者、IAM角色或應用程式) 進行比對來提供驗證。 AWS 帳戶接下來,系統會提出請求來向主體授與資源的存取權。如果使用者已獲得資源的權限,則會針對授權要求授予存取權。舉例來說,當您第一次登入主控台且位於主控台首頁時,您無法存取特定服務。選取某項服務時,系統會將授權請求傳送至該服務,該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級,以及任何可能生效中的其他政策。授權要求可由您內部的主體 AWS 帳戶 或您信任的其他主 AWS 帳戶 體提出。

獲得授權後,主體即可對您 AWS 帳戶中的資源採取動作或執行操作。例如,主參與者可以啟動新 Amazon Elastic Compute Cloud 執行個體、修改IAM群組成員資格或刪除 Amazon Simple Storage Service 值區。

提示

AWS 培訓和認證提供了 10 分鐘的視頻介紹IAM:

簡介 AWS Identity and Access Management.

服務可用性

IAM像許多其他 AWS 服務一樣,最終是一致的。IAM透過將資料複製到全球 Amazon 資料中心內的多個伺服器,以達到高可用性。如果變更一些資料的請求成功完成,則該變更經認可並安全儲存。但是,必須跨越複製變更IAM,這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。我們建議您不要在應用程式的關鍵、高可用性程式碼路徑中包含此類IAM變更。而是在不常執行的個別初始化或安裝常式中進行IAM變更。另外,在生產工作流程套用這些變更之前,請務必確認變更已完成傳播。如需詳細資訊,請參閱我所做的變更不一定都會立刻生效

服務費用資訊

AWS Identity and Access Management (IAM) AWS IAM Identity Center 和 AWS Security Token Service (AWS STS)是您 AWS 帳戶的功能,不收取額外費用。只有當您使用使用IAM者或 AWS STS 臨時安全登入資料存取其他 AWS 服務時,才會向您收費。

IAM提供存取分析器外部存取分析,不收取額外費用。但是,您將對未使用的訪問分析和客戶政策檢查產生費用。如需IAM存取分析器的完整費用和價格清單,請參閱IAM存取分析器定價

如需其他 AWS 產品定價的相關資訊,請參閱 Amazon Web Services 定價頁面

與其他 AWS 服務整合

IAM與許多服 AWS 務集成。如需可使用的 AWS 服務清單以IAM及服務支援的IAM功能,請參閱AWS 與之合作的服務 IAM

如需IAM概念的相關資訊,請參閱下列主題: