AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

访问控制

AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。当委托人在 AWS 中发出请求时,AWS 执行代码会检查是否对委托人进行身份验证(登录)和授权(具有权限)。您将创建策略并将其附加到 IAM 身份或 AWS 资源,以便管理 AWS 中的访问。策略是 AWS 中的 JSON 文档,在附加到身份或资源时,策略定义它们的权限。有关策略类型和用法的更多信息,请参阅策略和权限

有关身份验证和授权过程的其余部分的详细信息,请参阅了解 IAM 的工作方式


      AccessManagement_Diagram

在授权期间,AWS 执行代码使用请求上下文中的值检查匹配的策略并确定是允许还是拒绝请求。

AWS 检查应用于请求上下文的每个策略。如果一个策略拒绝请求,AWS 将拒绝整个请求并停止评估策略。这称为显式拒绝。由于请求是默认被拒绝的,因此,只有在适用的策略允许请求的每个部分时,IAM 才会授权请求。单个账户中对于请求的评估逻辑遵循以下规则:

  • 默认情况下,所有请求都被隐式拒绝。(或者,默认情况下,AWS 账户根用户 拥有完全访问权限。)

  • 基于身份或基于资源的策略中的显式允许将覆盖此默认值。

  • 如果存在权限边界、组织 SCP 或会话策略,它可能会使用隐式拒绝覆盖允许。

  • 任何策略中的显式拒绝将覆盖任何允许。

在对您的请求进行身份验证和授权后,AWS 将批准该请求。如果您需要在另一个账户中发出请求,其他账户中的策略必须允许访问资源。此外,您用于发出请求的 IAM 实体必须具有基于身份的策略,该策略允许该请求。

访问管理资源

有关权限和创建策略的更多信息,请参阅以下资源:

本页内容: