IAM (Identity and Access Management)

• 對於 AWS 上的服務安全性扮演了舉足輕重的角色。它管理了對於 AWS 上的服務與資源的存取。
• 在 IAM 裡有幾個重要的組成
  • Root user: 預設建立的帳戶，不應該拿來做日常操作或使用。
  • Users: 就是組織內或公司內的成員，可以形成一些群組。
  • Groups: 只會包含 users，並不會包含其他群組。
  • 所以 user 可以不隸屬某個 group，user 可以隸屬於多個 group。
• Permissions 權限
  • User 和 groups 可以在 JSON 文件內指定，稱之為 policies.
  • 這些 policies 就會定義 users 的權限。
  • 原則上賦予最小權限即可，不需給予多餘或未使用到的權限。
  • Policies 的定義可以是有繼承關係的。
• Policy 結構
  • 由 "Version", "Id" 和 "Statement" 組成。
  • 而 "Statement" 由以下項目組成：
    • Sid: 可選，statement 的識別碼。
    • Principal: 用於哪個 account/user/role。
    • Effect: 描述該 statement 是允許 (Allow) 還是 Deny (拒絕) 存取。
    • Resource: 列出 action 要套用的 resource。
    • Action: 列出允許 (Allow) 或 Deny (拒絕) 的操作 (action)。
    • Condition: 可選，指定此 policy 要起作用的條件。

如何存取 AWS

• 使用者若要存取 aws，有以下方式
  • 透過 AWS management console，(需要用密碼或以 MFA 登入)
  • 透過 AWS CLI (command line) 介面：以命令列方式操作，要用 access keys 獲得權限操作。
  • 透過 AWS SDK: 也要用到 access keys。

IAM Role

• Role (角色)，通常不會用 user 直接操作 aws 服務，而是用 IAM role 為 aws 服務分配權限。
• AWS 提供的 IAM 安全工具
  • IAM Credentials Report
    • 是 account level
    • 可列出你的帳戶下所有 user 及其 credential 狀態。
  • IAM Access Advisor
    • 是 user level
    • 可顯示出 user 被賦予的服務權限以及何時使用過該服務，如此可知使用者被賦予的權限是否多餘。
    • 因此可以據此來調整 policies。