技术分享 | 一分钟了解AWS IAM是什么？

Oct 1st, 2023 by Anna

■ 功能框架

借助AWS IAM，可以集中管理控制用户访问AWS 资源的权限。可以使用IAM来控制谁通过了身份验证（准许登录）并获得授权（拥有权限）来使用资源。 AWS IAM是一项核心基础设施服务，为AWS中基于身份的访问控制提供基础。每次访问AWS账户时都会使用到 IAM。 IAM是AWS账户提供的一项功能，无需支付额外费用。

■ 概念原理

IAM是AWS Identity and Access Management的缩写，可以精确地指定谁以及在哪些条件下可以访问哪些 AWS 服务和资源。 IAM 会对每个请求强制实施这些权限。默认情况下拒绝访问，仅当指定权限为“允许”时才授予访问权限。

当创建 AWS 账户时，最初使用的是一个对账户中所有 AWS 服务和资源拥有完全访问权限的登录身份，此身份称为 AWS 账户根用户，使用创建该账户时使用的电子邮件地址和密码登录，即可获得该身份。

AWS账户的创建者有义务保管好根用户凭证，并且对根用户的一切操作承担完全责任。作为AWS的最佳安全实践，强烈建议创建具有适当权限的管理员身份来执行日常管理任务，而根用户凭证的使用限定在执行需要根用户权限的任务。

■ 组件构成

IAM提供了控制AWS账户身份验证和授权所需的基础设施。 IAM基础设施如下图所示。首先，人类用户或应用程序使用其登录凭证与AWS进行身份验证，然后请求授予主体对资源的访问权限，获得授权后，主体可以对AWS账户里的资源采取行动或执行操作。