AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

访问控制

AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。在委托人在 AWS 中发出请求时,IAM 服务检查是否对委托人进行身份验证 (登录) 和授权 (具有权限)。您可以创建策略并将其附加到 IAM 身份或 AWS 资源以管理访问。这些策略指定允许或拒绝的权限。有关身份验证和授权过程的其余部分的详细信息,请参阅了解 IAM 的工作方式

 访问管理图表

在授权期间,IAM 使用请求上下文中的值检查匹配的策略并确定是允许还是拒绝请求。

策略作为 JSON 文档存储在 AWS 中,并指定为委托人允许或拒绝的权限 (基于身份的策略) 或为资源允许或拒绝的权限 (基于资源的策略)。基于身份的策略包括 AWS 托管策略、客户托管策略和内联策略。基于资源的策略还包括信任策略。有关这些类型的策略的更多信息,请参阅IAM 策略

IAM 检查与请求上下文匹配的每个策略。如果一个策略包含拒绝的操作,IAM 将拒绝整个请求并停止评估策略。这称为显式拒绝。由于请求是默认拒绝的,因此,只有在匹配的策略允许请求的每个部分时,IAM 才会授权请求。评估逻辑遵循以下规则:

  • 默认情况下,所有请求都将被拒绝。

  • 显式允许将取代此默认设置。

  • 显式拒绝将覆盖任何允许。

注意

默认情况下,仅 AWS 账户根用户有权访问该账户中的所有资源。因此,如果未以根用户身份登录,您必须具有策略授予的权限。

在对您的请求进行身份验证和授权后,AWS 将批准该请求。如果您需要在另一个账户中发出请求,该账户中的资源必须具有基于资源的策略以允许从您的账户中进行访问。否则,您必须在该账户中担任具有所需权限的角色。

访问管理资源

有关权限和创建策略的更多信息,请参阅以下资源:

本页内容: