Table of Content

• IAM
• Core Component
• Type of Policy
• Password Policy
• Access key
• MFA

IAM

IAM 是 AWS 的權限管理系統

Core Component

1. User

2. Group

3. Role

4. Policy

5. User
   IAM Identities。指的是透過 AWS console 或使用程式登入的終端使用者

6. Group
   IAM Identities。Group 有點像社團的概念，在同個 group 裡的 user 將會有一樣的權限等級
   ex : Administrators, Developers, Auditors

7. Role
   IAM Identities。 role 是將權限關聯至某個 group 或 使用者 的中介者

8. Policy
   policy 是 JSON 文件，這些文件裡包含了可以幫特定使用者、群體、或角色取得權限的規則。 Policy 可以附加在任何的 IAM Identities(User, Group, Role)
   

Type of Policy

Policy 分為三種： Managed, Customer, Inline
Managed policy
AWS 建立的政策，包含常見的政策。Managed Policy 的內容不能被更動
Customer policy
使用者建立的政策，內容可被更動
Inline policy
直接附加在某個使用者的政策(好像可以設定TTL ?)

Password Policy

Password Policy

可以設定使用者設定密碼時的規則，ex :至少有一個大寫字母，至少有一個數字...的規則
也可以要求輪轉(rotate)密碼(使用者要定期更新密碼)

Access key

1. 一個使用者最多會有兩個 Access key
2. Access key 在透過程式(AWS CLI/ AWS SDK)來使用AWS服務時會被使用
3. Access key 只有產生key的當下能看到，如果忘記就必須刪掉現有的在新增一個

Multi-Factor Authentication(MFA)

MFA 只能由使用者自己開啟(因為需要手機...)
Administrator不能直接幫使用者設定MFA，但是可以設定某些服務一定要有MFA才能使用，來限制沒有MFA的使用者。
有幾種方式 ：

1. Virtual MFA device: 用行動裝置或電腦下載 APP
2. U2F security key ： YubiKey 或是任何 U2F 裝置(類似dongle的東西)
3. Other hardware MFA device