IAM 文件历史记录
下表介绍了 IAM 的主要文档更新。
| 变更 | 说明 | 日期 |
|---|---|---|
IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy | 2024 年 1 月 23 日 | |
IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy | 2024 年 1 月 11 日 | |
IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy | 2023 年 12 月 1 日 | |
IAM Access Analyzer 向 IAMAccessAnalyzerReadOnlyAccess 添加了权限,让您可以检查策略更新是否授予额外的访问权限。 IAM Access Analyzer 需要此权限才能对您的策略执行策略检查。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer 简化了对未使用访问的检查,以指导您获得最低权限。IAM Access Analyzer 会持续分析您的账户,以识别未使用的访问,并创建一个包含调查发现的集中式控制面板。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer 现在提供了自定义策略检查,可在部署之前验证 IAM policy 是否符合您的安全标准。 | 2023 年 11 月 26 日 | |
IAM Access Analyzer 将 IAM 操作添加到 AccessAnalyzerServiceRolePolicy
| 2023 年 11 月 26 日 | |
IAM 现在支持上次访问操作的信息,并针对超过 60 项其他服务生成包含操作级信息的策略,并提供上次访问操作信息的操作列表。 | 2023 年 11 月 1 日 | |
IAM 现在提供针对 140 多项服务的上次访问操作的信息,并提供上次访问操作的信息的操作列表。 | 2023 年 9 月 14 日 | |
现在,您最多可以为每个用户添加八个 MFA 设备,包括 FIDO 安全密钥、带有虚拟身份验证应用程序的基于时间的一次性密码(TOTP)或硬件 TOTP 令牌。 | 2022 年 11 月 16 日 | |
IAM Access Analyzer 附加支持以下资源类型:
| 2022 年 10 月 25 日 | |
删除了提及 U2F 作为 MFA 选项的内容,并添加了有关 WebAuthn、FIDO2 和 FIDO 安全密钥的信息。 | 2022 年 5 月 31 日 | |
新增了有关在事件中断 Amazon Web Services 区域 之间的通信时保持对 IAM 凭证的访问权限的信息。 | 2022 年 5 月 16 日 | |
现在,您可以根据 Amazon Organizations 中的账户、组织单位(OU)或组织来控制对包含您的资源的资源的访问权限。您可以使用 IAM policy 中的 | 2022 年 4 月 27 日 | |
新增的代码示例显示如何将 IAM 与 Amazon 软件开发工具包(SDK)一起使用。这些示例被划分成代码摘录,展示如何调用单个服务函数,以及展示如何通过在同一服务中调用多个函数来完成特定任务。 | 2022 年 4 月 7 日 | |
更新确定账户中是允许还是拒绝请求部分中的策略评估逻辑流程图和相关文本。 | 2021 年 11 月 17 日 | |
添加了有关创建管理用户而不是使用根用户凭证的信息,移除了使用用户组向 IAM 用户分配权限的最佳做法,并澄清了何时使用托管策略而不是内联策略。 | 2021 年 10 月 5 日 | |
添加了有关同一账户中基于资源的策略和不同主体类型的影响的信息。 | 2021 年 10 月 5 日 | |
现在将更详细地解释单值和多值条件键之间的差异。值类型已添加到每个 Amazon 全局条件上下文密钥。 | 2021 年 9 月 30 日 | |
IAM Access Analyzer 可识别允许公共和跨账户访问的 Amazon S3 存储桶,包括使用 Amazon S3 多区域访问点的存储桶。 | 2021 年 9 月 2 日 | |
IAM Access Analyzer 更新了现有 Amazon 管理策略。 | 2021 年 9 月 2 日 | |
IAM Access Analyzer 可以为其他 Amazon 服务生成包含操作级访问活动信息的 IAM policy。 | 2021 年 8 月 24 日 | |
现在,您可以使用 IAM Access Analyzer 根据您在不同账户中使用 Amazon CloudTrail 跟踪的访问活动生成精细策略,例如集中的 Amazon Organizations 跟踪。 | 2021 年 8 月 18 日 | |
IAM Access Analyzer 通过添加新的策略检查来验证 IAM policy 中包含的条件,从而扩展策略验证。这些检查会分析策略语句中的条件数据块,并报告安全警告、错误和建议以及可操作建议。 IAM Access Analyzer 添加了以下策略检查: | 2021 年 6 月 29 日 | |
现在,您可以在 IAM 控制台中查看上次访问的操作信息,了解 IAM 主体上次对以下服务使用操作的内容:Amazon EC2、IAM、Lambda 和 Amazon S3 管理操作。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。您可以使用此信息确定不必要的权限,从而优化 IAM policy 以更好地遵循最低权限原则。 | 2021 年 4 月 19 日 | |
管理员可以配置 IAM 角色,以要求身份传递已在 Amazon CloudTrail 中登录的源身份。查看源身份信息可帮助管理员确定谁通过担任角色会话执行了操作或执行了哪些操作。 | 2021 年 4 月 13 日 | |
现在,您可以使用 IAM Access Analyzer 根据在 Amazon CloudTrail 中找到的访问活动生成精密策略了。 | 2021 年 4 月 7 日 | |
IAM Access Analyzer 现在在策略创作过程中提供了 100 多项策略检查,并附带了可操作的建议。 | 2021 年 3 月 16 日 | |
使用 IAM Access Analyzer 中的策略检查扩展 IAM 控制台、Amazon API 以及 Amazon CLI 中可用的策略验证来帮助您编写安全且功能性强的 JSON 策略。 | 2021 年 3 月 15 日 | |
您现在可以使用标签键值对标记额外的 IAM 资源。 | 2021 年 2 月 11 日 | |
如果您没有为 Amazon Web Services 账户 设置自定义密码策略,则 IAM 用户密码现在必须符合默认 Amazon 密码策略。 | 2020 年 11 月 18 日 | |
每个 Amazon 服务可以定义操作、资源和条件上下文密钥以在 IAM policy 中使用。有关 Amazon 服务及其操作、资源和条件上下文密钥的列表,请参阅服务授权参考。 | 2020 年 11 月 16 日 | |
IAM 用户在 Amazon Web Services Management Console 中切换角色时现在可以拥有更长的角色会话持续时间,从而减少由于会话过期而造成的中断。用户被授予为角色设置的最大会话持续时间或 IAM 用户会话中的剩余时间(以较少者为准)。 | 2020 年 7 月 24 日 | |
您可以使用 Service Quotas 控制台请求增加可调 IAM 配额的配额。现在,某些增加将在 Service Quotas 中几分钟内自动得到批准并可用于您的账户中。更大的增加请求将提交给 Amazon Web Services Support。 | 2020 年 6 月 25 日 | |
除了服务上次访问的信息之外,您现在可以在 IAM 控制台中查看有关 IAM 主体上次使用 Amazon S3 操作的时间的信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该报告包括有关主体上次尝试访问的允许的服务和操作以及访问时间的信息。您可以使用此信息确定不必要的权限,从而优化 IAM policy 以更好地遵循最低权限原则。 | 2020 年 6 月 3 日 | |
安全性章节可帮助您了解如何配置 IAM 和 Amazon STS 以满足您的安全性和合规性目标。您还会了解如何使用其他 Amazon 服务以帮助您监控和保护 IAM 资源。 | 2020 年 4 月 29 日 | |
您现在可以编写一个策略,该策略基于主体在代入角色时指定的会话名称授予权限。 | 2020 年 4 月 21 日 | |
在主 Amazon 登录页面上登录时,您无法选择以 Amazon Web Services 账户根用户 或 IAM 用户身份登录。当您执行此操作时,页面上的标签会指示您是否应提供根用户电子邮件地址或 IAM 用户信息。本文档包含更新的屏幕截图,以帮助您了解 Amazon 登录页面。 | 2020 年 3 月 4 日 | |
您现在可以编写策略来限制服务是否可以代表 IAM 主体(用户或角色)发出请求。当主体向 Amazon 服务发出请求时,该服务可能会使用主体的凭证向其他服务发出后续请求。如果任何服务使用主体的凭证发出请求,请使用 | 2020 年 2 月 20 日 | |
您现在可以使用 IAM policy simulator 测试权限边界对 IAM 实体的影响。 | 2020 年 1 月 23 日 | |
现在,您可以了解 Amazon 如何评估跨账户访问策略。当信任账户中的资源包含的基于资源的策略允许另一个账户中的主体访问该资源时,就会发生此情况。这两个账户都必须允许该请求。 | 2020 年 1 月 2 日 | |
现在,您可以在 Amazon STS 中代入角色或联合身份用户身份时包含标签。执行 | 2019 年 11 月 22 日 | |
现在,您可以在 IAM policy 中从 Amazon Organizations 引用企业部门 (OU)。如果您使用 Organizations 将账户组织到 OU 中,则可以要求主体属于特定 OU,然后再向其授予对您资源的访问权限。主体包括 Amazon Web Services 账户根用户、IAM 用户和 IAM 角色。为此,请在策略的 | 2019 年 11 月 20 日 | |
您现在可以查看上次使用角色的日期、时间和区域。此信息还可帮助您确定账户中未使用的角色。您可以使用 Amazon Web Services Management Console、Amazon CLI 和 Amazon API 查看有关上次使用角色时间的信息。 | 2019 年 11 月 19 日 | |
现在,您可以了解什么时候在请求的上下文中包含各个全局条件键。您还可以使用页面目录 (TOC) 轻松地导航到各个键。页面上的信息可帮助您编写更准确的策略。例如,如果您的员工通过 IAM 角色使用联合身份,则您应使用 | 2019 年 10 月 6 日 | |
了解如何通过标签在 Amazon 中使用基于属性的访问控制 (ABAC),以及它与传统 Amazon 授权模型的比较。使用 ABAC 教程,了解如何创建策略,允许具有主体标签的 IAM 角色访问具有匹配标签的资源,并测试该策略。此策略仅允许用户查看或编辑其作业需要的 Amazon 资源。 | 2019 年 10 月 3 日 | |
您可以在代码中查看 Amazon 访问密钥,以确定密钥是否来自于您拥有的账户。您可以使用 | 2019 年 7 月 24 日 | |
您现在可以在 IAM 控制台的 Amazon Organizations 部分中查看 Amazon Organizations 实体或策略的上次访问的服务信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该数据包括有关 Organizations 账户中的主体上次尝试访问的允许服务以及访问时间的信息。您可以使用该信息确定不需要的权限,以便优化 Organizations 策略以更好地遵循最小权限原则。 | 2019 年 6 月 20 日 | |
您现在可以在担任角色时最多传递 10 个托管策略 ARN。这允许您限制角色的临时凭证的权限。 | 2019 年 5 月 7 日 | |
您现在可以选择是使用版本 1 还是版本 2 全球终端节点令牌。版本 1 令牌仅在默认启用的 Amazon 区域中有效。这些令牌不适用于手动启用的区域,例如,亚太地区(香港)。版本 2 令牌在所有区域中都有效。不过,版本 2 令牌较长,可能会影响临时存储令牌的系统。 | 2019 年 4 月 26 日 | |
您现在可以创建策略,以允许管理员启用和禁用亚太地区(香港)区域 (ap-east-1)。 | 2019 年 4 月 24 日 | |
IAM 用户现在可在 My Security Credentials(我的安全凭证)页面上管理自己的所有凭证。此 Amazon Web Services Management Console 页面显示账户信息,例如账户 ID 和规范用户 ID。用户还可以查看和编辑自己的密码、访问密钥、X.509 证书、SSH 密钥和 Git 凭证。 | 2019 年 1 月 24 日 | |
您现在可使用 Amazon CLI 和 Amazon API 查看上次访问的服务相关信息。 | 2018 年 12 月 7 日 | |
您现在可使用 IAM 标签利用标签键值对向身份(IAM 用户或角色)添加自定义属性。您还可以使用标签控制身份对资源的访问权限或控制可附加到身份的标签。 | 2018 年 11 月 14 日 | |
现在,您可以使用 U2F 安全密钥作为登录 Amazon Web Services Management Console 时的 Multi-Factor Authentication (MFA) 选项。 | 2018 年 9 月 25 日 | |
在美国西部(俄勒冈)区域中,您现在可以在 VPC 与 Amazon STS 之间建立私有连接。 | 2018 年 7 月 31 日 | |
利用新功能,可以更轻松地向可信员工授予管理 IAM 权限的能力,而无需授予完整的 IAM 管理访问权限。 | 2018 年 7 月 12 日 | |
通过指定 IAM 主体的 Amazon 企业,新的条件键提供了控制对 Amazon 资源的访问的更简单方法。 | 2018 年 5 月 17 日 | |
新的条件键提供了使用 IAM policy 来控制对 Amazon 区域的访问的更简单方法。 | 2018 年 4 月 25 日 | |
IAM 角色 角色现在可以具有 12 小时的会话持续时间。 | 2018 年 3 月 28 日 | |
新的工作流程改进了创建信任关系并将权限附加到角色的过程。 | 2017 年 9 月 8 日 | |
更新的 Amazon 登录体验允许根用户和 IAM 用户使用 Amazon Web Services Management Console 主页上的 Sign In to the Console(登录控制台)链接。 | 2017 年 8 月 25 日 | |
文档更新包含 30 多个示例策略。 | 2017 年 8 月 2 日 | |
利用添加到 IAM 控制台的 Users(用户)部分中的信息,可以更轻松地遵循 IAM 最佳实践。 | 2017 年 7 月 5 日 | |
资源级权限可以控制对 Auto Scaling 资源的访问以及 Auto Scaling 资源的权限。 | 2017 年 5 月 16 日 | |
数据库管理员可以将数据库用户与 IAM 用户和角色相关联,从而从一个位置管理对所有 Amazon 资源的用户访问。 | 2017 年 4 月 24 日 | |
服务相关角色提供了更轻松、更安全的方法来将权限委派给 Amazon 服务。 | 2017 年 4 月 19 日 | |
新的策略摘要使您可以更轻松地了解 IAM policy 中的权限。 | 2017 年 3 月 23 日 |