昨天我們巡視了軍火庫，今天就要來實際掌權了。在 AWS 這個世界，權力就是一切，而 IAM (Identity and Access Management) 就是權力的核心。如果沒搞懂它，你的 AWS 帳號可能就會像一座不設防的空城，任人來去自如，直到你收到天價帳單時才欲哭無淚。

上帝帳號 vs 凡人帳號

首先，你得認識一個至高無上的存在：Root User (根使用者)。這就是你當初註冊 AWS 時用的那個 Email 帳號。它就是上帝，擁有創世與滅世的所有權力，可以刪除你所有的服務，甚至關閉你的帳號。

最高指導原則：永遠不要在日常工作中使用 Root User！

它就像核彈的發射按鈕，我們應該把它鎖在最深的保險庫裡，只在「非你不可」的特殊情況下（例如修改帳號聯絡資訊）才拿出來。平常，我們應該要創建「凡人」帳號，也就是 IAM User 來操作。

鑰匙的兩種形式：主機板 vs. 秘密令牌

為了讓我們（以及我們的機器人）能夠跟 AWS 互動，IAM 提供了兩種主要的「鑰匙」：

1. Management Console Password (管理控制台密碼)

這很好理解，就是一組帳號密碼，讓你登入 AWS 那個看起來很複雜的網頁介面。這是給我們「人類」使用的，讓我們可以用滑鼠點點點來管理服務。你可以把它想像成進入帝國城堡的「大門鑰匙」。

2. Access Key (存取金鑰)

這是給「機器人」和「程式」使用的鑰匙。它由兩部分組成：

• Access Key ID：公開的 ID，像是你的使用者名稱或卡號。
• Secret Access Key：絕對私密的金鑰，相當於你的密碼或 PIN 碼。

這組金鑰讓我們的程式可以透過 API 或 SDK (軟體開發工具包) 來呼叫 AWS 服務。它就像一個「秘密令牌」，我們的程式只要出示這個令牌，AWS 就知道是誰、以及它有什麼權限。

警告：Secret Access Key 只會在你建立它時顯示一次！ 你必須立刻下載並儲存好。一旦遺失，就只能重新產生一組。更重要的是，絕對、絕對、絕對不要把 Access Key 寫死在你的程式碼裡或上傳到 Github！ 這等於是把你的國庫鑰匙掛在城門口，駭客會笑著感謝你。

權力法典：Policies

光有使用者和鑰匙還不夠，我們還需要一本「法典」來規定誰能做什麼。這就是 IAM Policies。它是一份用 JSON 格式寫成的文件，清楚地定義了「允許 (Allow)」或「拒絕 (Deny)」的權限。

例如，我們可以寫一條 Policy：

「茲授權，使用者『交易機器人』，允許 對 S3 儲存桶中的 config.json 檔案，執行 讀取 操作。」

這就是「最小權限原則 (Principle of Least Privilege)」——只給予完成任務所必需的最小權限。千萬不要當個懶惰的皇帝，直接給所有人最高權限，這是在自找麻煩。

今天我們學會了如何創建使用者和管理鑰匙，這是保護我們雲端帝國安全的第一道防線。從今天起，請務必使用 IAM User 登入你的控制台！

明天，我們將開始建造實體的防禦工事：VPC，我們雲端上的私人堡壘。