了解 IAM 详情的资源
IAM 是一款功能丰富的产品,您可找到许多资源来了解有关 IAM 如何帮助保护 Amazon Web Services 账户 和资源的更多信息。
身份
请参阅这些资源,以便创建、管理和使用身份。
在 IAM Identity Center 管理身份 – 有关在 IAM Identity Center 中创建用户和组的程序信息。
-
IAM 身份(用户、用户组和角色) – 有关用户、组和角色的深入讨论。
证书(密码、访问密钥和 MFA 设备)
查看以下指南,为您的 Amazon Web Services 账户 和 IAM 用户管理密码、访问密钥以及 MFA 设备。
-
在 Amazon 中管理用户密码 – 介绍为账户中的 IAM 用户管理密码的选项。
-
管理 IAM 用户的访问密钥 – 介绍访问密钥的工作原理以及如何使用它们以编程方式调用 Amazon。我们建议您首先考虑使用其他更安全的访问密钥的替代方法。有关更多信息,请参阅《Amazon Web Services 一般参考指南》中的 长期访问密钥的注意事项和替代方案。
-
在 Amazon 中使用多重身份验证 (MFA) - 介绍如何配置账户和 IAM 用户以要求在允许登录之前提供密码和一次性使用代码(在设备上生成)。(这有时称为双重身份验证)。
有关用于访问 Amazon Web Services 的凭证类型的一般信息,请参阅《Amazon Web Services 一般参考指南》中的 Amazon 安全凭证。
权限与策略
了解 IAM policy 的内部工作原理并查找有关授予权限的最佳方式的提示:
-
IAM 中的策略和权限。 - 介绍用于定义权限的策略语言。介绍如何将权限附加到用户或组或是 (对于一些 Amazon 产品) 资源本身。
-
IAM JSON 策略元素参考 - 提供每个策略语言元素的说明和示例。
-
验证 IAM policy – 查找用于 JSON 策略验证的资源。
-
IAM 基于身份的策略示例 - 说明了用于各种 Amazon 产品中的常见任务的策略示例。
-
Amazon 策略生成器
- 通过从列表选择产品和操作来创建自定义策略。 -
IAM policy simulator
- 测试策略是允许还是拒绝对 Amazon 的特定请求。
联合和委托
您可以为在其他位置进行了身份验证(登录)的用户授予对您 Amazon Web Services 账户 中的资源的访问权限。这些可以是其他 Amazon Web Services 账户 中的 IAM 用户(称为委派)、使用您企业的登录过程进行了身份验证的用户或是来自互联网身份提供程序 [如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect(OIDC)兼容的身份提供程序] 的用户。在这些情况下,用户可获取临时安全凭证以访问 Amazon 资源。
-
IAM 教程:使用 IAM 角色委托跨 Amazon 账户的访问权限 – 指导您向其他 Amazon Web Services 账户 中的 IAM 用户授予跨账户访问权限。
-
临时凭证的常见情形 - 介绍在 Amazon 外部进行身份验证之后使用户经过联合身份验证进入 Amazon 的方式。
IAM 和其他 Amazon 产品
大多数 Amazon 产品与 IAM 集成,以便您可以使用 IAM 功能帮助保护对这些产品中的资源的访问。以下资源讨论 IAM 以及一些最受欢迎的 Amazon 产品的安全性。有关使用 IAM 的产品的完整列表(包括有关每个产品的更多信息的链接),请参阅 使用 IAM 的Amazon服务。
将 IAM 与 Amazon EC2 结合使用
-
控制对 Amazon EC2 资源的访问 - 介绍如何使用 IAM 功能允许用户管理 Amazon EC2 实例、卷等。
-
使用实例配置文件 - 介绍如何使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序以及需要访问其他 Amazon 产品的应用程序安全地提供凭证。
将 IAM 与 Amazon S3 结合使用
-
管理对 Amazon S3 资源的访问权限 - 讨论用于存储桶和对象(包括 IAM policy)的 Amazon S3 安全模型。
-
编写 IAM policy:授予 Amazon S3 存储桶中用户特定文件夹的访问权限
- 讨论如何让用户在 Amazon S3 中保护自己的文件夹。(有关 Amazon S3 和 IAM 的更多文章,请在博客文章标题下选择 S3 标签。)
将 IAM 与 Amazon RDS 结合使用
-
使用 Amazon Identity and Access Management (IAM) 来管理对 Amazon RDS 资源的访问 — 介绍如何使用 IAM 控制对数据库实例、数据库快照等的访问。
-
RDS 资源级别权限读本
- 介绍如何使用 IAM 控制对特定 Amazon RDS 实例的访问。
将 IAM 与 Amazon DynamoDB 结合使用
-
使用 IAM 控制对 DynamoDB 资源的访问 - 介绍如何使用 IAM 允许用户管理 DynamoDB 表和索引。
一般安全实践
查找专家提示和指南,了解保护 Amazon Web Services 账户 和资源的最佳方式:
-
安全、身份和合规性的最佳实践
– 深入介绍如何跨 Amazon Web Services 账户 和产品管理安全性,包括有关安全架构、IAM 的使用、加密和数据安全等方面的建议。 -
身份与访问权限管理 – 该 Amazon Well-Architected Framework 可帮助您了解在云中设计和运行工作负载的关键概念、设计原则和架构最佳实践。
-
IAM 中的安全最佳实践 – 提供相关建议,帮助您了解使用 IAM 保护 Amazon Web Services 账户 和资源的方法。
-
Amazon CloudTrail 用户指南 - 使用 Amazon CloudTrail 可跟踪对 Amazon 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。
一般 资源
浏览以下资源可了解有关 IAM 和 Amazon 的更多信息。
-
IAM 的产品信息
- 有关 Amazon Identity and Access Management 产品的一般信息。 -
适用于 Amazon Identity and Access Management 的 Amazon Web Services re:Post
– 访问 Amazon Web Services re:Post,与 Amazon 社区讨论涉及 IAM 的技术问题。
-
入门资源中心
– 了解如何设置 Amazon Web Services 账户、加入 Amazon 社区和启动您的第一个应用程序。 -
Amazon Web Services Support 中心
– 用于创建和管理 Amazon Web Services Support 案例的中心。还提供指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况以及Amazon Trusted Advisor。 -
Amazon Web Services Support
– 提供有关 Amazon Web Services Support 的信息的主要网页,这是一个一对一的快速响应支持渠道,可以帮助您在云中构建和运行应用程序。 -
联系我们
– 用于查询有关 Amazon 账单、账户、事件、滥用和其他问题的中央联系点。 -
Amazon 网站条款
– 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。