AWS Certified Solution Architect Associate之旅的第一站，我們首先來看看IAM服務。

1. 為何要使用IAM:

IAM是Identity and Access Management縮寫，提供我們使用者一套更具備安全性和彈性的雲端資源控管機制。我們可以按照任務所需，去指派所需要的雲端資源取得權限和方式，而不必去使用Root Account。這邊Root Account是指我們第一次使用AWS雲端服務時所開的帳號，此帳號擁有最高的權限，能取得任何AWS上的雲端資源和服務。因此，若使用Root Account去做僅需要部份雲端資源的服務時，我們會面臨到其他服務被意外竊取的高額機會成本。

2. IAM的運作機制 - 階層式的結構:

這邊透過下面的表格說明IAM的整體架構(因為考照是英文出題，以下會盡量以英文去標示關鍵字詞。)首先，Policy讓我們可以定義多少資源，需要釋放給特定任務做使用。Policy定義完後，將指派給IAM Group下的User或者是Role，讓IAM Group下的User或者Role可以按照這個Policy，去享有特定的雲端資源服務。至於IAM Group User和Role差別，IAM Group User可以看做我們要提供多少AWS雲端服務，給其他系統開發者，也就是從人的角度去看；而IAM Role的話，則是讓我們內部本身的AWS雲端資源，可以相互取得串通，也就是從雲端資源角度去看，例如某台雲端機器可以享有其他的雲端儲存資源。

2.1 Policy的編寫

我們編寫IAM Policy時，須留意到Policy是在JSON格式中，由effect, principal, condition, action 以及 resource組成。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

• 編寫Policies時，可以參考Visual Editor編寫工具。
• Policy參考工具: Policy Simulator
• Policy編寫原則: Least Privilege僅提供使用者所需的雲端資源或服務。

2.2 IAM 特點

IAM有以下幾項特點:

通用與彈性

• IAM is Universal: IAM服務不受分區限制。雲端服務通常會分區來去提供，例如選用在新加坡的機器，但IAM這是屬於不分區的雲端服務。
• Centralized Control: 中央控管機制，權限控管與調整，由中央統一作調控。
• Shared Access: 共享機制，讓同一套服務可以讓多個相同權限使用者使用。
• Granular Permission: Policy的訂定可以非常細微，讓我們可以依照任務所需，定義真的需要提供出來的權限，來應對各式各樣的商業環境需求。
• Integrate AWS Services: 讓不同的AWS服務資源可以相互按照所需串接。

安全

• Multifactor Authentication: 可以觸發多重認證機制，讓服務的啟用更具保障。
• Password Rotation Policy: 強制規定每隔一段時間就要更改密碼的限制。

此短片讓大家可以從不同角度再去看一次IAM。