1.IAM組成承擔

IAM是一種 Web 服務，能夠安全地控制對 AWS 資源的存取，重要的名詞包含使用者(User)、群組(Group)、角色(role)、政策文件(Policy Document)，使用者、群組、角色預設是沒有許可的，所以在一開始這些IAM實體在AWS完全沒有作用，這時就要在政策文件的白名單會黑名單設定可執行的動作，以下一一作做簡單的介紹。

2.IAM使用者、IAM群組、IAM角色

IAM的使用者是用於將使用者與AWS互動的人或服務，是由使用者名稱、密碼及金鑰所組成，而登入後基本上資料就是永久的，除非為了增加安全性執行「輪換」。

IAM群組是IAM使用者的集合，而使用者也可以同時隸屬於多個群組，這麼做的用意是為了一次將某個政策連結到多個使用者。

IAM角色與IAM使用者很像，不過它並沒有長期的安全憑證(密碼或金鑰)，因為他並不是要讓特定一個人可以登入，而是要讓任何一個有需要這個服務的人都可以使用，並且也可以判定這個人在 AWS 中可執行和不可執行的操作，簡單來說角色會提供臨時授權讓人使用AWS的服務。

3.IAM政策文件

IAM政策文件是JSON檔，他是用來建立政策並且附加到IAM實體(使用者、群組、角色)，管理AWS的使用權限。其中有分白名單和黑名單，就如同字面上的意思，假設今天要刪掉S3上面的一個檔案，如果有在黑名單設定不能刪除S3檔案的相關政策並關聯到所有IAM實體的話，就一定刪不掉，這樣可以永遠防止特定動作發生。當然如果要設定可以刪掉的話，也要在白名單設定可以刪掉並連結到所有IAM實體。

另外每個 API 動作都會記錄在 AWS CloudTrail 中，換句話說每次的嘗試都會自動的紀錄，無論是成功或是遭到拒絕，如此的話只要發現有異常拒絕的現象就可以及時發現，並可以快速的做出因應的對策，強化帳戶的安全性。

4.考前重點大補帖

⦁ IAM是一種 Web 服務，能夠安全地控制對 AWS 資源的存取。

⦁ IAM使用者是在 AWS 中建立的實體，使用此實體與 AWS 互動的人員或應用程式。

⦁ 輪換 – 定期輪換安全登入資料。

⦁ IAM使用者包含了使用者的名稱及登入密碼或金鑰。

⦁ IAM群組是IAM使用者之集合，IAM使用者亦可同時屬於多個群組。

⦁ IAM群組的目的是一次將某個政策連結到多個使用者。

⦁ IAM角色可判定其在 AWS 中可執行和不可執行的操作。

⦁ IAM角色不包含密碼或存取金鑰。

⦁ 可以使用IAM角色來提供通常無權存取 AWS 資源的使用者或應用程式。

⦁ IAM政策文件是JSON檔。

⦁ 無論是成功或遭到拒絕，每個 API 動作都會記錄在 AWS CloudTrail 中。

5.經典歷屆試題

單選題

1. 如何將S3儲存桶訪問權限限制為特定角色才能存取？
   A. 公鑰對和私鑰對
   B. Amazon Inspector
   C. AWS Identity and Access Management (IAM) 政策
   D. AWS 安全群組
   正解：C

2. 在使用AWS CLI時下列哪一個IAM包含了使用者名稱、密碼和金鑰？
   A. IAM群組
   B. IAM使用者
   C. IAM角色
   D. IAM政策
   正解：B

3. AWS客戶如何將訪問控制一次應用在大量的使用者上？
   A. 將IAM政策用於IAM群組
   B. 將IAM政策用於IAM角色
   C. 將相同的IAM政策用於所有有權訪問的IAM使用者
   D. 將IAM政策用於Amazon Cognito使用者集區
   正解：A

4. 如何用AWS IAM功能將一組權限套用在多個用戶？
   A. 多要素認證
   B. 群組
   C. 密碼政策
   D. Access key
   正解：B