IAM是一種Web服務,讓您能夠安全地控制對AWS資源的存取。可以使用IAM來控制(已登入)的身分驗證和授權使用資源的許可。
當您首次建立 AWS 帳戶時,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為AWS帳戶根使用者(root account),是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循僅以根使用者建立您第一個IAM使用者的最佳實務。接著請妥善鎖定根使用者(root account)登入資料,只用來執行少數的帳戶與服務管理作業。
IAM 使用者權限控管
IAM 可以輕鬆地讓多個使用者安全存取您的 AWS 資源。IAM 讓您能夠:
管理 IAM 使用者和其存取權:您可以在 AWS 的身分管理系統中建立使用者,為他們指派個別安全登入資料 (例如存取金鑰、密碼和多重驗證裝置) 或請求臨時安全登入資料,還有為使用者提供 AWS 服務和資源的存取權。您可以指定許可以控制使用者可執行的操作。
管理聯合身分使用者的存取權:您可以為在公司目錄中管理的使用者請求包含可設定有效期限的安全登入資料,讓員工和應用程式可以安全存取 AWS 帳戶中的資源,而不必為他們建立 IAM 使用者帳戶。您可以指定這些安全登入資料的許可,以控制使用者可執行的操作。
Roles:
Roles是一個IAM實體,其定義用於提出AWS服務請求的一組許可。Roles與特定的user或群組無關聯,而是由受信任的實體擔任角色,例如 IAM使用者、應用程式或 EC2 之類的AWS服務。