什麼是 IAM？

IAM (Identity and Access Management) = AWS 的身分與存取管理服務
我們可以把 AWS 想成一棟大樓，IAM就是發鑰匙的人。不同使用者可以拿不同鑰匙，比如有人只能進倉庫（S3），有人只能進辦公室（EC2），有人可以進任何地方（Admin）。

具體的理服務：

1. 管理使用者 → 誰能登入 AWS？
2. 管理群組 → 使用者可以被分到群組，群組決定權限。
3. 管理角色 (Role) → 給服務（像 EC2、Lambda）身份去做某些操作。
4. 管理權限 (Policy) → 控制能不能使用某個服務，例如只能看 S3，不能刪除。

再換個角度想，我們可以想成：

1. 使用者 = 帳號
2. 群組 = 部門
3. Policy = 規則
4. IAM = 整個公司的人事部門

好處：

1. 安全性：不用每個人都拿 root 帳號。
2. 精準控管：誰可以讀資料？誰可以刪機器？IAM 幫你決定。
3. 審計方便：知道是誰做了什麼事。
   （重點就是不要一直用 root 帳號做所有事情，要建立 IAM 使用者來分工！）

實作：建立一個新使用者

Step1: 進入 IAM 服務

在 AWS Console 搜尋「IAM」，並點擊「人員」選項

Step2: 建立使用者

進入後再選擇右上角橘色標誌的「建立人員」，進入以下畫面
自行輸入人員名稱（自己取）

勾選「提供人員對 AWS 管理主控台的存取權」
意思就是要不要讓這個使用者能登入 AWS 管理主控台 (Console)。
那「人員類型」我們選擇「我想要建立IAM人員」（因為是自己要用）。
主控台密碼選「自動產生密碼」或「自訂密碼」建議勾 「要求使用者下次登入時更改密碼」（比較安全）。

Step3: 設定許可

這邊選擇加入群組，具體是哪個群組我們待會設定。

Step4: 檢閱和建立人員

確認資訊正確後我們就可以建立人員，接下來就來處理群組！

Step5: 建立人員群組

我們在儀表版側邊的目錄選擇「人員」上方的「人員群組」，進入頁面後再選擇右上角橘色的「建立群組」，勾選我們剛剛建立的人員，接著設定權限就可以囉！（不過我這邊忘記截圖權限的地方，所以後續在群組的設定中補截圖）

若是沒有選擇到權限，我們後續在群組中的「許可」裡可以附加，那這邊我們給這隻帳號的權限是AmazonS3ReadOnlyAccess ，讓這隻帳號僅有讀取S3的權限（如果選擇AdministratorAccess也是可以的）。

以上都完成之後我們就可以在AWS的登入介面選擇「使用IAM帳號登入」囉～那日後要做比較大的專案也可以知道如何分配權限啦～