AWS Identity and Access Management

建立 AWS 帳戶時，會自動為您的 AWS 帳戶建立根使用者帳戶。此使用者帳戶具有完整的存取權，可以您 AWS 帳戶中的所有 AWS 服務與資源。只有在一開始建立其他角色與使用者帳戶，以及有管理活動需要此帳戶時，才使用此帳戶，而不應將其用於日常任務。AWS 建議您從一開始就套用最低權限準則，包括為不同的任務定義不同的使用者帳戶與角色，並指定完成每項任務所需的基本許可設定。此方法是設計中用來調整 GDPR 中引入之資料保護的一種機制。AWS Identity and Access Management (IAM) 這項 Web 服務可以安全地控制您 AWS 資源的存取權。

使用者與角色定義具有特定許可的 IAM 身分。授權的使用者是具備執行特定任務能力的 IAM 角色。當角色確立之後，會建立暫時登入資料。例如，您可以使用 IAM 角色安全地為在 Amazon Elastic Compute Cloud (Amazon EC2) 中執行的應用程式，提供存取其他 AWS 資源 (如 Amazon S3 儲存貯體與 Amazon Relational Database Service (Amazon RDS)，或 Amazon DynamoDB 資料庫) 所需的暫時登入資料。同樣地，執行角色也提供具有存取其他 AWS 服務與資源 (例如：用於串流日誌的 Amazon CloudWatch Logs，或從 Amazon Simple Queue Service (Amazon SQS) 佇列中讀取訊息) 所需許可的 AWS Lambda 功能。建立角色時，您會為其新增原則，以定義授權。

若要協助客戶監控資源原則，並找出不打算提供給大眾或不同帳戶存取權的資源，可以啟用 IAM Access Analyzer 產生全面性的調查結果，從中確定可以從 AWS 帳戶外部存取的資源。IAM Access Analyzer 在評估資源原則時，會使用數學邏輯與推論，判斷原則允許的可能存取路徑。IAM Access Analyzer 會持續監控新原則或更新原則，並使用適用於 IAM 角色 (同時也適用於 Amazon S3 儲存貯體、AWS Key Management Service (AWS KMS) 金鑰、Amazon SQS 佇列，以及 Lambda 函數等等) 的原則，分析授與的許可。

當儲存貯體設定為允許存取網際網路上的任何人或其他 AWS 帳戶 (包括您組織外部的 AWS 帳戶) 時，Access Analyzer for S3 會提醒您。在檢查 Access Analyzer for Amazon S3 中存有風險的儲存貯體時，只須按一下滑鼠按鈕，就能禁止所有對儲存貯體的公開存取。AWS 建議除非您需要支援公開存取來支援特定的使用案例，否則應禁止所有對您儲存貯體的存取。在禁止所有公開存取之前，請先確定您的應用程式在沒有了公開存取權之後，仍能繼續正常運作。如需詳細資訊，請參閱使用 Amazon S3 封鎖公開存取。

IAM 也會提供上次存取的資訊，協助您找出尚未使用的許可，以便您移除其與相關主體的連結。使用上次存取的資訊或能改進原則，只允許存取所需的服務與動作。這有助於您遵循及套用最低權限的最佳實務。 您可以檢視 IAM 或整個 AWS Organizations 環境中，上次存取的實體或原則資訊。