IAM 是 AWS 的權限管理系統
User
Group
Role
Policy
User
IAM Identities。指的是透過 AWS console 或使用程式登入的終端使用者
Group
IAM Identities。Group 有點像社團的概念,在同個 group 裡的 user 將會有一樣的權限等級
ex : Administrators, Developers, Auditors
Role
IAM Identities。 role 是將權限關聯至某個 group 或 使用者 的中介者
Policy
policy 是 JSON 文件,這些文件裡包含了可以幫特定使用者、群體、或角色取得權限的規則。 Policy 可以附加在任何的 IAM Identities(User, Group, Role)
Policy 分為三種: Managed, Customer, Inline
Managed policy
AWS 建立的政策,包含常見的政策。Managed Policy 的內容不能被更動
Customer policy
使用者建立的政策,內容可被更動
Inline policy
直接附加在某個使用者的政策(好像可以設定TTL ?)
Password Policy
可以設定使用者設定密碼時的規則,ex :至少有一個大寫字母,至少有一個數字...的規則
也可以要求輪轉(rotate)密碼(使用者要定期更新密碼)
MFA 只能由使用者自己開啟(因為需要手機...)
Administrator不能直接幫使用者設定MFA,但是可以設定某些服務一定要有MFA才能使用,來限制沒有MFA的使用者。
有幾種方式 :