适用于 Amazon 资源的 Access Management
Amazon Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 Amazon 资源的访问。当主体在 Amazon 中发出请求时,Amazon 执行代码会检查是否对主体进行身份验证(登录)和授权(具有权限)。您将创建策略并将其附加到 IAM 身份或 Amazon 资源,以便管理 Amazon 中的访问。策略是 Amazon 中的 JSON 文档,在附加到身份或资源时,策略定义它们的权限。有关策略类型和用法的更多信息,请参阅Amazon Identity and Access Management 中的策略和权限。
有关身份验证和授权过程的其余部分的详细信息,请参阅IAM 的工作原理。
在授权期间,Amazon 执行代码使用请求上下文中的值检查匹配的策略并确定是允许还是拒绝请求。
Amazon 检查应用于请求上下文的每个策略。如果一个策略拒绝请求,Amazon 将拒绝整个请求并停止评估策略。这称为显式拒绝。由于请求是默认拒绝的,因此,只有在适用的策略允许请求的每个部分时,IAM 才会授权请求。单个账户中对于请求的评估逻辑遵循以下规则:
-
默认情况下,所有请求都被隐式拒绝。(或者,默认情况下,Amazon Web Services 账户根用户 拥有完全访问权限。)
-
基于身份或基于资源的策略中的显式允许将覆盖此默认值。
-
如果存在权限边界、Organizations SCP 或会话策略,它可能会使用隐式拒绝覆盖允许。
-
任何策略中的显式拒绝将覆盖任何允许。
在对您的请求进行身份验证和授权后,Amazon 将批准该请求。如果您需要在另一个账户中发出请求,其他账户中的策略必须允许访问资源。此外,您用于发出请求的 IAM 实体必须具有基于身份的策略,该策略允许该请求。
访问管理资源
有关权限和创建策略的更多信息,请参阅以下资源:
Amazon 安全博客中的以下文章介绍 Amazon S3 存储桶和对象访问策略的常用编写方法。