IAM（Identity and Access Management）

大家都知道 IAM是 AWS 安全管理的核心，
可以用來做身分權限的控制分配與控制！

主要由以下組成：

• 用戶（Users）：代表個人或服務個體
• 群組（Groups）：用戶的集合
• 角色（Roles）：可以被 AWS 服務或外部用戶使用的身份
• 策略（Policies）：定義權限的 JSON 文檔

而其中，為了帳號的安全，我們需要實限最小權限原則

最小權限原則是什麼呢?

最小權限原則其實是一種安全概念中非常好的習慣，只給予使用者完成其任務所需的最小權限

權限過於嚴格可能會影響生產力，所以我們需要在安全性和便利性之間找到平衡
在大型組織中，部門特別多，每個人的工作職權也都部一樣，權限管理可能會變得非常非常非常複雜 ~
使用 **AWS Organizations 和服務控制策略（SCP）**可以幫助在組織層級管理權限

在我們完善的套用最小權限原則時，
以下重要的因素都能防範

• 減少安全風險：限制潛在的惡意活動範圍
• 錯誤防護：減少意外操作的影響
• 合規性：滿足各種安全標準和法規要求
• 降低複雜性：簡化權限管理和審計

有時候真的都是一個「不小心」，就會刪錯資源，或者建立成錯誤又高成本的服務
為了防範這些不小心，真的在給權限的時候，不能什麼都給最高權限 QQQQQ

在實施最小權限原則時，一時無法拿捏需要給到多大的權限時，也可以參考以下步驟

實施最小權限的步驟

1. 識別需求：
   明確定義每個使用者、群組或角色的具體的職責和任務

2. 從零開始：
   一開始不給太多權限，根據需求逐步添加

3. 使用預設的策略：
   利用 AWS 管理的策略作為起點，EX: AmazonS3ReadOnlyAccess

4. 創建自定義策略：
   使用精確的權限定義自定義策略

5. 使用條件：
   在策略中增加條件以進一步限制權限範圍

6. 定期審查：
   經常審查和更新權限，移除不必要的訪問權限

7. 使用 AWS 工具：
   利用 IAM Access Analyzer 等工具識別過度權限

正常來說 ~沒有辦法對每個角色設定權限都一次到位，
只能用循序漸進的方式，來增增修修使用者權限，不過為了安全，絕對不要怕麻煩！
一開始建立比較痛苦，不過先建立好系統後，後面加入的使用者，也會比較知道怎麼給權限哦 ~