IAM 文件历史记录 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 文件历史记录

下表介绍了 IAM 的主要文档更新。

变更说明日期

IAM Access Analyzer 增加了访问配置

IAM Access Analyzer 增加了对配置分析器的支持,以更改 Amazon Web Services 账户、IAM 用户和角色生成调查发现的范围。

2024 年 11 月 14 日

集中管理成员账户的根访问权限

现在,您可以通过集中的根访问在 Amazon Organizations 中管理跨成员账户的特权根用户凭证。集中保护使用 Amazon Organizations 管理的 Amazon Web Services 账户的根用户凭证,并移除和防止根用户凭证恢复和大规模访问。

2024 年 11 月 14 日

Amazon 托管式策略更新 - 新策略

IAM 添加了两个新策略来限制特权根用户会话的权限范围,您可以在集中组织中成员账户的根用户访问后启动这些会话。

2024 年 11 月 14 日

对 Amazon Organizations 资源控制策略(RCP)的支持

使用 Organizations 资源控制策略(RCP)为组织或组织单位(OU)中账户内的资源定义最大权限。RCP 限制了基于身份和基于资源的策略可以向组织内账户中的资源授予的权限。

2024 年 11 月 13 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy 的服务级别权限添加了对检索 IAM 用户和角色标签信息的权限的支持。

2024 年 10 月 29 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy 的服务级别权限添加了对检索 IAM 用户和角色策略信息的权限的支持。

2024 年 5 月 30 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy 的服务级别权限添加了对检索阻止公开访问 Amazon EC2 快照当前状态的权限的支持。

2024 年 1 月 23 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy 的服务级别权限添加了 DynamoDB 流和表。

2024 年 1 月 11 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 向 AccessAnalyzerServiceRolePolicy 的服务级别权限添加了 Amazon S3 目录存储桶。

2023 年 12 月 1 日

IAMAccessAnalyzerReadOnlyAccess:添加了权限

IAM Access Analyzer 向 IAMAccessAnalyzerReadOnlyAccess 添加了权限,让您可以检查策略更新是否授予额外的访问权限。

IAM Access Analyzer 需要此权限才能对您的策略执行策略检查。

2023 年 11 月 26 日

IAM Access Analyzer 添加了未使用的访问分析器

IAM Access Analyzer 简化了对未使用访问的检查,以指导您获得最低权限。IAM Access Analyzer 会持续分析您的账户,以识别未使用的访问,并创建一个包含调查发现的集中式控制面板。

2023 年 11 月 26 日

IAM Access Analyzer 添加了自定义策略检查

IAM Access Analyzer 现在提供了自定义策略检查,可在部署之前验证 IAM policy 是否符合您的安全标准。

2023 年 11 月 26 日

AccessAnalyzerServiceRolePolicy:添加了权限

IAM Access Analyzer 将 IAM 操作添加到 AccessAnalyzerServiceRolePolicy 的服务级别权限,以支持以下操作:

  • 列出策略的实体

  • 生成服务上次访问的详细信息

  • 列出访问密钥信息

2023 年 11 月 26 日

上次访问操作的信息和支持针对 60 多项其他服务和操作生成策略

IAM 现在支持上次访问操作的信息,并针对超过 60 项其他服务生成包含操作级信息的策略,并提供上次访问操作信息的操作列表。

2023 年 11 月 1 日

针对 140 多项服务提供上次访问操作的信息支持

IAM 现在提供针对 140 多项服务的上次访问操作的信息,并提供上次访问操作的信息的操作列表。

2023 年 9 月 14 日

支持多个多重身份验证(MFA)设备用于根用户和 IAM 用户

现在,您最多可以为每个用户添加八个 MFA 设备,包括 FIDO 安全密钥、带有虚拟身份验证应用程序的基于时间的一次性密码(TOTP)或硬件 TOTP 令牌。

2022 年 11 月 16 日

IAM Access Analyzer 支持新的资源类型

IAM Access Analyzer 附加支持以下资源类型:

  • Amazon EBS 卷快照

  • Amazon ECR 存储库

  • Amazon EFS 文件系统

  • Amazon RDS 数据库快照

  • Amazon RDS 数据库集群快照

  • Amazon SNS 主题

2022 年 10 月 25 日

U2F 弃用和 WebAuthn/FIDO 更新

删除了提及 U2F 作为 MFA 选项的内容,并添加了有关 WebAuthn、FIDO2 和 FIDO 安全密钥的信息。

2022 年 5 月 31 日

IAM 中恢复能力的更新

新增了有关在事件中断 Amazon Web Services 区域 之间的通信时保持对 IAM 凭证的访问权限的信息。

2022 年 5 月 16 日

新的资源全局条件键

现在,您可以根据 Amazon Organizations 中的账户、组织单位(OU)或组织来控制对包含您的资源的资源的访问权限。您可以使用 IAM policy 中的 aws:ResourceAccountaws:ResourceOrgIDaws:ResourceOrgPaths 全局条件键。

2022 年 4 月 27 日

使用 Amazon 开发工具包的 IAM 代码示例

新增的代码示例显示如何将 IAM 与 Amazon 软件开发工具包(SDK)一起使用。这些示例被划分成代码摘录,展示如何调用单个服务函数,以及展示如何通过在同一服务中调用多个函数来完成特定任务。

2022 年 4 月 7 日

更新策略评估逻辑流程图

更新确定账户中是允许还是拒绝请求部分中的策略评估逻辑流程图和相关文本。

2021 年 11 月 17 日

安全最佳实践的更新

添加了有关创建管理用户而不是使用根用户凭证的信息,移除了使用 IAM 组向 IAM 用户分配权限的最佳实践,并澄清了何时使用托管策略而不是内联策略。

2021 年 10 月 5 日

基于资源的策略的策略评估逻辑主题的更新

添加了有关同一账户中基于资源的策略和不同主体类型的影响的信息。

2021 年 10 月 5 日

对单值和多值条件密钥的更新

现在将更详细地解释单值和多值条件键之间的差异。值类型已添加到每个 Amazon 全局条件上下文密钥

2021 年 9 月 30 日

IAM Access Analyzer 支持 Amazon S3 多区域访问点

IAM Access Analyzer 可识别允许公共和跨账户访问的 Amazon S3 存储桶,包括使用 Amazon S3 多区域访问点的存储桶。

2021 年 9 月 2 日

Amazon 管理策略更新 — 对现有策略的更新

IAM Access Analyzer 更新了现有 Amazon 管理策略。

2021 年 9 月 2 日

支持更多用于生成操作级策略的服务

IAM Access Analyzer 可以为其他 Amazon 服务生成包含操作级访问活动信息的 IAM policy。

2021 年 8 月 24 日

为跨账户跟踪生成 IAM policy

现在,您可以使用 IAM Access Analyzer 根据您在不同账户中使用 Amazon CloudTrail 跟踪的访问活动生成精细策略,例如集中的 Amazon Organizations 跟踪。

2021 年 8 月 18 日

其他 IAM Access Analyzer 策略检查

IAM Access Analyzer 通过添加新的策略检查来验证 IAM policy 中包含的条件,从而扩展策略验证。这些检查会分析策略语句中的条件数据块,并报告安全警告、错误和建议以及可操作建议。

IAM Access Analyzer 添加了以下策略检查:

2021 年 6 月 29 日

上次访问的操作支持更多服务

现在,您可以在 IAM 控制台中查看上次访问的操作信息,了解 IAM 主体上次对以下服务使用操作的内容:Amazon EC2、IAM、Lambda 和 Amazon S3 管理操作。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。您可以使用此信息确定不必要的权限,从而优化 IAM policy 以更好地遵循最低权限原则。

2021 年 4 月 19 日

监控和控制使用担任角色执行的操作

管理员可以配置 IAM 角色,以要求身份传递已在 Amazon CloudTrail 中登录的源身份。查看源身份信息可帮助管理员确定谁通过担任角色会话执行了操作或执行了哪些操作。

2021 年 4 月 13 日

基于访问活动生成 IAM policy

现在,您可以使用 IAM Access Analyzer 根据在 Amazon CloudTrail 中找到的访问活动生成精密策略了。

2021 年 4 月 7 日

IAM Access Analyzer 策略检查

IAM Access Analyzer 现在在策略创作过程中提供了 100 多项策略检查,并附带了可操作的建议。

2021 年 3 月 16 日

扩展的策略验证选项

使用 IAM Access Analyzer 中的策略检查扩展 IAM 控制台、Amazon API 以及 Amazon CLI 中可用的策略验证来帮助您编写安全且功能性强的 JSON 策略。

2021 年 3 月 15 日

标记 IAM 资源

您现在可以使用标签键值对标记额外的 IAM 资源。

2021 年 2 月 11 日

IAM 用户的默认密码策略

如果您没有为 Amazon Web Services 账户 设置自定义密码策略,则 IAM 用户密码现在必须符合默认 Amazon 密码策略。

2020 年 11 月 18 日

Amazon 服务的操作、资源和条件键页面已移动

每个 Amazon 服务可以定义操作、资源和条件上下文密钥以在 IAM policy 中使用。有关 Amazon 服务及其操作、资源和条件上下文密钥的列表,请参阅服务授权参考

2020 年 11 月 16 日

IAM 用户更长的角色会话持续时间

IAM 用户在 Amazon Web Services Management Console 中切换角色时现在可以拥有更长的角色会话持续时间,从而减少由于会话过期而造成的中断。用户被授予为角色设置的最大会话持续时间或 IAM 用户会话中的剩余时间(以较少者为准)。

2020 年 7 月 24 日

使用 Service Quotas 请求快速增加 IAM 实体

您可以使用 Service Quotas 控制台请求增加可调 IAM 配额的配额。现在,某些增加将在 Service Quotas 中几分钟内自动得到批准并可用于您的账户中。更大的增加请求将提交给 Amazon Web Services Support。

2020 年 6 月 25 日

Amazon S3 中的上次访问信息现在包括 IAM 管理操作

除了服务上次访问的信息之外,您现在可以在 IAM 控制台中查看有关 IAM 主体上次使用 Amazon S3 操作的时间的信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该报告包括有关主体上次尝试访问的允许的服务和操作以及访问时间的信息。您可以使用此信息确定不必要的权限,从而优化 IAM policy 以更好地遵循最低权限原则。

2020 年 6 月 3 日

添加了安全性章节

安全性章节可帮助您了解如何配置 IAM 和 Amazon STS 以满足您的安全性和合规性目标。您还会了解如何使用其他 Amazon 服务以帮助您监控和保护 IAM 资源。

2020 年 4 月 29 日

sts:RoleSessionName

您现在可以编写一个策略,该策略基于主体在代入角色时指定的会话名称授予权限。

2020 年 4 月 21 日

Amazon 登录页面更新

在主 Amazon 登录页面上登录时,您无法选择以 Amazon Web Services 账户根用户 或 IAM 用户身份登录。当您执行此操作时,页面上的标签会指示您是否应提供根用户电子邮件地址或 IAM 用户信息。本文档包含更新的屏幕截图,以帮助您了解 Amazon 登录页面。

2020 年 3 月 4 日

aws:ViaAWSService 和 aws:CalledVia 条件键

您现在可以编写策略来限制服务是否可以代表 IAM 主体(用户或角色)发出请求。当主体向 Amazon 服务发出请求时,该服务可能会使用主体的凭证向其他服务发出后续请求。如果任何服务使用主体的凭证发出请求,请使用 aws:ViaAWSService 条件键进行匹配。如果特定服务使用主体的凭证发出请求,请使用 aws:CalledVia 条件键进行匹配。

2020 年 2 月 20 日

策略模拟器添加对权限边界的支持

您现在可以使用 IAM policy simulator 测试权限边界对 IAM 实体的影响。

2020 年 1 月 23 日

跨账户策略评估

现在,您可以了解 Amazon 如何评估跨账户访问策略。当信任账户中的资源包含的基于资源的策略允许另一个账户中的主体访问该资源时,就会发生此情况。这两个账户都必须允许该请求。

2020 年 1 月 2 日

会话标签

现在,您可以在 Amazon STS 中代入角色或联合身份用户身份时包含标签。执行 AssumeRoleGetFederationToken 操作时,您可以将会话标签作为属性传递。执行 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 操作时,您可以将属性从公司身份传递到 Amazon。

2019 年 11 月 22 日

控制 Amazon Organizations 中 Amazon Web Services 账户 组的访问权限

现在,您可以在 IAM policy 中从 Amazon Organizations 引用企业部门 (OU)。如果您使用 Organizations 将账户组织到 OU 中,则可以要求主体属于特定 OU,然后再向其授予对您资源的访问权限。主体包括 Amazon Web Services 账户根用户、IAM 用户和 IAM 角色。为此,请在策略的 aws:PrincipalOrgPaths 条件键中指定 OU 路径。

2019 年 11 月 20 日

上次使用的角色

您现在可以查看上次使用角色的日期、时间和区域。此信息还可帮助您确定账户中未使用的角色。您可以使用 Amazon Web Services Management Console、Amazon CLI 和 Amazon API 查看有关上次使用角色时间的信息。

2019 年 11 月 19 日

对全局条件上下文密钥页面的更新

现在,您可以了解什么时候在请求的上下文中包含各个全局条件键。您还可以使用页面目录 (TOC) 轻松地导航到各个键。页面上的信息可帮助您编写更准确的策略。例如,如果您的员工通过 IAM 角色使用联合身份,则您应使用 aws:userId 密钥而不是 aws:userName 密钥。aws:userName 密钥仅适用于 IAM 用户,不适用于角色。

2019 年 10 月 6 日

Amazon 中的 ABAC

了解如何通过标签在 Amazon 中使用基于属性的访问控制 (ABAC),以及它与传统 Amazon 授权模型的比较。使用 ABAC 教程,了解如何创建策略,允许具有主体标签的 IAM 角色访问具有匹配标签的资源,并测试该策略。此策略仅允许用户查看或编辑其作业需要的 Amazon 资源。

2019 年 10 月 3 日

Amazon STS GetAccessKeyInfo 操作

您可以在代码中查看 Amazon 访问密钥,以确定密钥是否来自于您拥有的账户。您可以使用 aws sts get-access-key-info Amazon CLI 命令或 GetAccessKeyInfo Amazon API 操作传递访问密钥 ID。

2019 年 7 月 24 日

在 IAM 中查看 Organizations 服务的上次访问信息

您现在可以在 IAM 控制台的 Amazon Organizations 部分中查看 Amazon Organizations 实体或策略的上次访问的服务信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该数据包括有关 Organizations 账户中的主体上次尝试访问的允许服务以及访问时间的信息。您可以使用该信息确定不需要的权限,以便优化 Organizations 策略以更好地遵循最小权限原则。

2019 年 6 月 20 日

将托管策略用作会话策略

您现在可以在担任角色时最多传递 10 个托管策略 ARN。这允许您限制角色的临时凭证的权限。

2019 年 5 月 7 日

全局端点的会话令牌的 Amazon STS 区域兼容性

您现在可以选择是使用版本 1 还是版本 2 全球端点令牌。版本 1 令牌仅在默认启用的 Amazon 区域中有效。这些令牌不适用于手动启用的区域,例如,亚太地区(香港)。版本 2 令牌在所有区域中都有效。不过,版本 2 令牌较长,可能会影响临时存储令牌的系统。

2019 年 4 月 26 日

允许启用和禁用 Amazon 区域

您现在可以创建策略,以允许管理员启用和禁用亚太地区(香港)区域 (ap-east-1)。

2019 年 4 月 24 日

IAM 用户的“我的安全凭证”页面

IAM 用户现在可在 My Security Credentials(我的安全凭证)页面上管理自己的所有凭证。此 Amazon Web Services Management Console 页面显示账户信息,例如账户 ID 和规范用户 ID。用户还可以查看和编辑自己的密码、访问密钥、X.509 证书、SSH 密钥和 Git 凭证。

2019 年 1 月 24 日

访问顾问 API

您现在可使用 Amazon CLI 和 Amazon API 查看上次访问的服务相关信息。

2018 年 12 月 7 日

标记 IAM 用户和角色

您现在可使用 IAM 标签利用标签键值对向身份(IAM 用户或角色)添加自定义属性。您还可以使用标签控制身份对资源的访问权限或控制可附加到身份的标签。

2018 年 11 月 14 日

U2F 安全密钥

现在,您可以使用 U2F 安全密钥作为登录 Amazon Web Services Management Console 时的 Multi-Factor Authentication (MFA) 选项。

2018 年 9 月 25 日

对 Amazon VPC 端点的支持

在美国西部(俄勒冈)区域中,您现在可以在 VPC 与 Amazon STS 之间建立私有连接。

2018 年 7 月 31 日

权限边界

利用新功能,可以更轻松地向可信员工授予管理 IAM 权限的能力,而无需授予完整的 IAM 管理访问权限。

2018 年 7 月 12 日

aws:PrincipalOrgID

通过指定 IAM 主体的 Amazon 企业,新的条件键提供了控制对 Amazon 资源的访问的更简单方法。

2018 年 5 月 17 日

aws:RequestedRegion

新的条件键提供了使用 IAM policy 来控制对 Amazon 区域的访问的更简单方法。

2018 年 4 月 25 日

增加了 IAM 角色的会话持续时间

IAM 角色 角色现在可以具有 12 小时的会话持续时间。

2018 年 3 月 28 日

更新了角色创建工作流程

新的工作流程改进了创建信任关系并将权限附加到角色的过程。

2017 年 9 月 8 日

Amazon Web Services 账户 登录流程

更新的 Amazon 登录体验允许根用户和 IAM 用户使用 Amazon Web Services Management Console 主页上的 Sign In to the Console(登录控制台)链接。

2017 年 8 月 25 日

示例 IAM policy

文档更新包含 30 多个示例策略。

2017 年 8 月 2 日

IAM 最佳实践

利用添加到 IAM 控制台的 Users(用户)部分中的信息,可以更轻松地遵循 IAM 最佳实践。

2017 年 7 月 5 日

Auto Scaling 资源

资源级权限可以控制对 Auto Scaling 资源的访问以及 Auto Scaling 资源的权限。

2017 年 5 月 16 日

Amazon RDS for MySQL 和 Amazon Aurora 数据库

数据库管理员可以将数据库用户与 IAM 用户和角色相关联,从而从一个位置管理对所有 Amazon 资源的用户访问。

2017 年 4 月 24 日

服务相关角色

服务相关角色提供了更轻松、更安全的方法来将权限委派给 Amazon 服务。

2017 年 4 月 19 日

策略摘要

新的策略摘要使您可以更轻松地了解 IAM policy 中的权限。

2017 年 3 月 23 日