什麼是IAM？

AWS Identity and Access Management (IAM) 是一項可協助您安全控制存取權的 Web 服務 AWS 的費用。使用IAM，您可以管理控制哪些權限 AWS 使用者可以存取的資源。您可IAM以用來控制誰要經過驗證 (登入) 和授權 (具有權限) 來使用資源。IAM提供控制驗證和授權所需的基礎結構 AWS 帳戶.

身份

當你創建一個 AWS 帳戶時，您會從一個擁有完整存取權限的登入身分開始 AWS 服務 和帳戶中的資源。這個身份被稱為 AWS 帳戶 root 使用者，並透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證，並將其用來執行只能由根使用者執行的任務。如需需要您以 root 使用者身分登入的完整工作清單，請參閱《使用指南》中的〈需要 root 使用者認證的IAM工作〉。

用IAM於設定 root 使用者以外的其他身分識別，例如管理員、分析師和開發人員，並授予他們存取權限，以便他們成功完成工作所需的資源。

存取管理

設定使用者之後IAM，他們會使用其登入認證進行驗證 AWS。 透過將登入認證與受信任的主體 (IAM使用者、同盟使用者、IAM角色或應用程式) 進行比對來提供驗證 AWS 帳戶。 接下來，會提出要求來授與資源的主體存取權。如果使用者已獲得資源的權限，則會針對授權要求授予存取權。舉例來說，當您第一次登入主控台且位於主控台首頁時，您無法存取特定服務。選取某項服務時，系統會將授權請求傳送至該服務，該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級，以及任何可能生效中的其他政策。授權請求可以由內部的主體提出 AWS 帳戶 或從另一個 AWS 帳戶 那是你信任的

授權後，主體就可以對您中的資源採取動作或執行作業 AWS 帳戶。 例如，主體可以啟動新的 Amazon Elastic Compute Cloud 執行個體、修改IAM群組成員資格或刪除 Amazon Simple Storage Service 水桶。

提示

AWS 培訓和認證提供了 10 分鐘的視頻介紹IAM：

簡介 AWS Identity and Access Management.

服務可用性

IAM，像許多其他 AWS 服務一般，最終是一致的。IAM透過將資料複製到全球 Amazon 資料中心內的多個伺服器，以達到高可用性。如果變更一些資料的請求成功完成，則該變更經認可並安全儲存。但是，必須跨越複製變更IAM，這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。我們建議您不要在應用程式的關鍵、高可用性程式碼路徑中包含此類IAM變更。而是在不常執行的個別初始化或安裝常式中進行IAM變更。另外，在生產工作流程套用這些變更之前，請務必確認變更已完成傳播。如需詳細資訊，請參閱我所做的變更不一定都會立刻生效。

服務費用資訊

AWS Identity and Access Management (IAM), AWS IAM Identity Center 以及 AWS Security Token Service (AWS STS）是您的功能 AWS 帳戶不收取額外費用。只有在您存取其他版本時才會向您收費 AWS 使用您的使用IAM者的服務或 AWS STS 臨時安全登入資料。

IAM提供存取分析器外部存取分析，不收取額外費用。但是，您將對未使用的訪問分析和客戶政策檢查產生費用。如需IAM存取分析器的完整費用和價格清單，請參閱IAM存取分析器定價。

有關其他定價的信息 AWS 產品請參閱 Amazon Web Services 定價頁面。

與其他整合 AWS 服務

IAM與許多人集成 AWS 服務。對於列表 AWS 使用的服務IAM和服務支援的IAM功能，請參閱AWS 使用 的服務 IAM。

如需IAM概念的相關資訊，請參閱下列主題：

主題

• 為什麼要使用 IAM？
• 何時使用 IAM？
• 如何管理 IAM？
• 如何IAM工作
• 比較IAM身分和憑證
• 權限和原則如何提供存取管理
• 根據具有ABAC授權的屬性定義許可