AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

访问控制

AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。IAM 的访问管理部分帮助您定义允许用户或其他实体在账户内执行哪些操作,这通常称为授权。使用权限策略和权限边界来定义权限。大多数权限策略是 AWS 中的 JSON 策略文档;在附加到身份或资源时,权限策略定义它们的权限。权限边界是一项高级功能,在其中,您使用策略来限制委托人可以具有的最大权限。这些边界可应用于 AWS Organizations 组织或者 IAM 用户或角色。有关策略类型和用法的更多信息,请参阅策略和权限

委托人在 AWS 中发出请求时,IAM 服务会检查是否对委托人进行身份验证(登录)和授权(具有权限)。您将创建策略并将其附加到 IAM 身份、AWS 资源或其他 AWS 对象(如 AWS Organizations 组织),以便管理 AWS 中的访问。这些策略指定允许或拒绝的权限。有关身份验证和授权过程的其余部分的详细信息,请参阅了解 IAM 的工作方式


      AccessManagement_Diagram

在授权期间,IAM 使用请求上下文中的值检查匹配的策略并确定是允许还是拒绝请求。

AWS 检查应用于请求上下文的每个策略。如果一个策略拒绝请求,AWS 将拒绝整个请求并停止评估策略。这称为显式拒绝。由于请求是默认被拒绝的,因此,只有在适用的策略允许请求的每个部分时,IAM 才会授权请求。评估逻辑遵循以下规则:

  • 默认情况下,所有请求都将被拒绝。(通常,始终允许使用 AWS 账户根用户 凭证创建的访问该账户资源的请求。)

  • 权限策略中的显式允许覆盖此默认设置。

  • 权限边界(AWS Organizations SCP 或者用户或角色边界)或在 AWS STS 角色代入期间使用的策略将覆盖允许。如果存在其中一个或多个项目,它们必须都允许请求。否则,将隐式拒绝它。

  • 任何策略中的显式拒绝将覆盖任何允许。

在对您的请求进行身份验证和授权后,AWS 将批准该请求。如果您需要在另一个账户中发出请求,该账户中的资源必须具有基于资源的策略以允许从您的账户中进行访问。否则,您必须在该账户中担任具有所需权限的角色。

访问管理资源

有关权限和创建策略的更多信息,请参阅以下资源:

本页内容: