IAM 文件历史记录 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

IAM 文件历史记录

下表介绍了 IAM 的主要文档更新。

变更说明日期

更新策略评估逻辑流程图

更新确定账户中是允许还是拒绝请求部分中的策略评估逻辑流程图和相关文本。

2021 年 11 月 17 日

安全最佳实践的更新

添加了有关创建 IAM 管理员用户而不是使用根用户凭证的信息,移除了使用用户组向 IAM 用户分配权限的最佳做法,并澄清了何时使用托管策略而不是内联策略。

2021 年 10 月 5 日

基于资源的策略的策略评估逻辑主题的更新

添加了有关同一账户中基于资源的策略和不同主体类型的影响的信息。

2021 年 10 月 5 日

对单值和多值条件密钥的更新

现在将更详细地解释单值和多值条件键之间的差异。值类型已添加到每个 Amazon 全局条件上下文密钥

2021 年 9 月 30 日

IAM Access Analyzer 支持 Amazon S3 多区域访问点

IAM Access Analyzer 可识别允许公共和跨账户访问的 Amazon S3 存储桶,包括使用 Amazon S3 多区域访问点的存储桶。

2021 年 9 月 2 日

Amazon 管理策略更新 — 对现有策略的更新

IAM Access Analyzer 更新了现有 Amazon 管理策略。

2021 年 9 月 2 日

支持更多用于生成操作级策略的服务

IAM Access Analyzer 可以为其他 Amazon 服务生成包含操作级访问活动信息的 IAM 策略。

2021 年 8 月 24 日

为跨账户跟踪生成 IAM 策略

现在,您可以使用 IAM Access Analyzer 根据您在不同账户中使用 Amazon CloudTrail 跟踪的访问活动生成精细策略,例如集中的 Amazon Organizations 跟踪。

2021 年 8 月 18 日

其他 IAM Access Analyzer 策略检查

IAM Access Analyzer 通过添加新的策略检查来验证 IAM 策略中包含的条件,从而扩展策略验证。这些检查会分析策略语句中的条件数据块,并报告安全警告、错误和建议以及可操作建议。

IAM Access Analyzer 添加了以下策略检查:

2021 年 6 月 29 日

上次访问的操作支持更多服务

现在,您可以在 IAM 控制台中查看上次访问的操作信息,了解 IAM 委托人上次对以下服务使用操作的内容:Amazon EC2、IAM、Lambda 和 Amazon S3 管理操作。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。您可以使用此信息确定不必要的权限,从而优化 IAM 策略以更好地遵循最小特权原则。

2021 年 4 月 19 日

监控和控制使用担任角色执行的操作

管理员可以配置 IAM 角色,以要求身份传递已在 Amazon CloudTrail 中登录的源身份。查看源身份信息可帮助管理员确定谁通过担任角色会话执行了操作或执行了哪些操作。

2021 年 4 月 13 日

基于访问活动生成 IAM 策略

现在,您可以使用 IAM Access Analyzer 根据在 Amazon CloudTrail 中找到的访问活动生成精密策略了。

2021 年 4 月 7 日

IAM Access Analyzer 策略检查

IAM Access Analyzer 现在在策略创作过程中提供了 100 多项策略检查,并附带了可操作的建议。

2021 年 3 月 16 日

扩展的策略验证选项

使用 IAM Access Analyzer 中的策略检查扩展 IAM 控制台、Amazon API 以及 Amazon CLI 中可用的策略验证来帮助您编写安全且功能性强的 JSON 策略。

2021 年 3 月 15 日

标记 IAM 资源

您现在可以使用标签键值对标记额外的 IAM 资源。

2021 年 2 月 11 日

IAM 用户的默认密码策略

如果您没有为 Amazon 账户设置自定义密码策略,则 IAM 用户密码现在必须符合默认 Amazon 密码策略。

2020 年 11 月 18 日

Amazon 服务的操作、资源和条件键页面已移动

每个Amazon服务可以定义操作、资源和条件上下文键以在 IAM 策略中使用。有关 Amazon 服务及其操作、资源和条件上下文键的列表,请参阅服务授权参考

2020 年 11 月 16 日

IAM 用户更长的角色会话持续时间

IAM 用户在 Amazon Web Services Management Console 中切换角色时现在可以拥有更长的角色会话持续时间,从而减少由于会话过期而造成的中断。用户被授予为角色设置的最大会话持续时间或 IAM 用户会话中的剩余时间(以较少者为准)。

2020 年 7 月 24 日

使用 Service Quotas 请求快速增加 IAM 实体

您可以使用 Service Quotas 控制台请求增加可调 IAM 配额的配额。现在,某些增加将在 Service Quotas 中几分钟内自动得到批准并可用于您的账户中。更大的增加请求将提交给 Amazon Web Services Support。

2020 年 6 月 25 日

Amazon S3 中的上次访问信息现在包括 IAM 管理操作

除了服务上次访问的信息之外,您现在可以在 IAM 控制台中查看有关 IAM 委托人上次使用 Amazon S3 操作的时间的信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该报告包括有关委托人上次尝试访问的允许的服务和操作以及访问时间的信息。您可以使用此信息确定不必要的权限,从而优化 IAM 策略以更好地遵循最小特权原则。

2020 年 6 月 3 日

添加了安全性章节

安全性章节可帮助您了解如何配置 IAM 和 Amazon STS 以满足您的安全性和合规性目标。您还会了解如何使用其他 Amazon 服务以帮助您监控和保护 IAM 资源。

2020 年 4 月 29 日

sts:RoleSessionName

您现在可以编写一个策略,该策略基于委托人在代入角色时指定的会话名称授予权限。

2020 年 4 月 21 日

Amazon 登录页面更新

在主 Amazon 登录页面上登录时,您无法选择以 Amazon Web Services 账户 根用户或 IAM 用户身份登录。当您执行此操作时,页面上的标签会指示您是否应提供根用户电子邮件地址或 IAM 用户账户信息。本文档包含更新的屏幕截图,以帮助您了解 Amazon 登录页面。

2020 年 3 月 4 日

aws:ViaAWSService 和 aws:CalledVia 条件键

您现在可以编写策略来限制服务是否可以代表 IAM 委托人(用户或角色)发出请求。当委托人向 Amazon 服务发出请求时,该服务可能会使用委托人的凭证向其他服务发出后续请求。如果任何服务使用委托人的凭证发出请求,请使用 aws:ViaAWSService 条件键进行匹配。如果特定服务使用委托人的凭证发出请求,请使用 aws:CalledVia 条件键进行匹配。

2020 年 2 月 20 日

策略模拟器添加对权限边界的支持

您现在可以使用 IAM 策略模拟器测试权限边界对 IAM 实体的影响。

2020 年 1 月 23 日

跨账户策略评估

现在,您可以了解 Amazon 如何评估跨账户访问策略。当信任账户中的资源包含的基于资源的策略允许另一个账户中的委托人访问该资源时,就会发生此情况。这两个账户都必须允许该请求。

2020 年 1 月 2 日

会话标签

现在,您可以在 Amazon STS 中代入角色或联合用户身份时包含标签。执行 AssumeRoleGetFederationToken 操作时,您可以将会话标签作为属性传递。执行 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 操作时,您可以将属性从公司身份传递到 Amazon。

2019 年 11 月 22 日

控制 Amazon Organizations 中 Amazon 账户组的访问权限

现在,您可以在 IAM 策略中从 Amazon Organizations 引用企业部门 (OU)。如果您使用 Organizations 将账户组织到 OU 中,则可以要求委托人属于特定 OU,然后再向其授予对您资源的访问权限。委托人包括 Amazon Web Services 账户 根用户、IAM 用户和 IAM 角色。为此,请在策略的 aws:PrincipalOrgPaths 条件键中指定 OU 路径。

2019 年 11 月 20 日

上次使用的角色

您现在可以查看上次使用角色的日期、时间和区域。此信息还可帮助您确定账户中未使用的角色。您可以使用 Amazon Web Services Management Console、Amazon CLI 和 Amazon API 查看有关上次使用角色时间的信息。

2019 年 11 月 19 日

对全局条件上下文键页面的更新

现在,您可以了解什么时候在请求的上下文中包含各个全局条件键。您还可以使用页面目录 (TOC) 轻松地导航到各个键。页面上的信息可帮助您编写更准确的策略。例如,如果您的员工通过 IAM 角色使用联合身份,则您应使用 aws:userId 密钥而不是 aws:userName 密钥。aws:userName 密钥仅适用于 IAM 用户,不适用于角色。

2019 年 10 月 6 日

中的 ABACAmazon

了解如何通过标签在 Amazon 中使用基于属性的访问控制 (ABAC),以及它与传统 Amazon 授权模型的比较。使用 ABAC 教程,了解如何创建策略,允许具有委托人标签的 IAM 角色访问具有匹配标签的资源,并测试该策略。此策略仅允许用户查看或编辑其作业需要的 Amazon 资源。

2019 年 10 月 3 日

Amazon STS GetAccessKeyInfo 操作

您可以在代码中查看 Amazon 访问密钥,以确定密钥是否来自于您拥有的账户。您可以使用 aws sts get-access-key-info Amazon CLI 命令或 GetAccessKeyInfo Amazon API 操作传递访问密钥 ID。

2019 年 7 月 24 日

在 IAM 中查看 Organizations 服务的上次访问信息

您现在可以在 IAM 控制台的 Amazon Organizations 部分中查看 Amazon Organizations 实体或策略的上次访问的服务信息。您也可以使用 Amazon CLI 或 Amazon API 检索数据报告。该数据包括有关 Organizations 账户中的委托人上次尝试访问的允许服务以及访问时间的信息。您可以使用该信息确定不需要的权限,以便优化 Organizations 策略以更好地遵循最小权限原则。

2019 年 6 月 20 日

将托管策略用作会话策略

您现在可以在担任角色时最多传递 10 个托管策略 ARN。这允许您限制角色的临时凭证的权限。

2019 年 5 月 7 日

全局终端节点的会话令牌的 Amazon STS 区域兼容性

您现在可以选择是使用版本 1 还是版本 2 全球终端节点令牌。版本 1 令牌仅在默认启用的 Amazon 区域中有效。这些令牌不适用于手动启用的区域,例如,亚太地区(香港)。版本 2 令牌在所有区域中都有效。不过,版本 2 令牌较长,可能会影响临时存储令牌的系统。

2019 年 4 月 26 日

允许启用和禁用 Amazon 区域

您现在可以创建策略,以允许管理员启用和禁用亚太地区(香港)区域 (ap-east-1)。

2019 年 4 月 24 日

IAM 用户的“我的安全凭证”页面

IAM 用户现在可在 My Security Credentials(我的安全凭证)页面上管理自己的所有凭证。此 Amazon Web Services Management Console 页面显示账户信息,例如账户 ID 和规范用户 ID。用户还可以查看和编辑自己的密码、访问密钥、X.509 证书、SSH 密钥和 Git 凭证。

2019 年 1 月 24 日

访问顾问 API

您现在可使用 Amazon CLI 和 Amazon API 查看上次访问的服务相关信息。

2018 年 12 月 7 日

标记 IAM 用户和角色

您现在可使用 IAM 标签利用标签键值对向身份(IAM 用户或角色)添加自定义属性。您还可以使用标签控制身份对资源的访问权限或控制可附加到身份的标签。

2018 年 11 月 14 日

U2F 安全密钥

现在,您可以使用 U2F 安全密钥作为登录 Amazon Web Services Management Console 时的 Multi-Factor Authentication (MFA) 选项。

2018 年 9 月 25 日

对 Amazon VPC 终端节点的支持

在美国西部(俄勒冈)区域中,您现在可以在 VPC 与 Amazon STS 之间建立私有连接。

2018 年 7 月 31 日

权限边界

利用新功能,可以更轻松地向可信员工授予管理 IAM 权限的能力,而无需授予完整的 IAM 管理访问权限。

2018 年 7 月 12 日

aws:PrincipalOrgID

通过指定 IAM 委托人的 Amazon 企业,新的条件键提供了控制对 Amazon 资源的访问的更简单方法。

2018 年 5 月 17 日

aws:RequestedRegion

新的条件键提供了使用 IAM 策略来控制对 Amazon 区域的访问的更简单方法。

2018 年 4 月 25 日

增加了 IAM 角色的会话持续时间

IAM 角色 角色现在可以具有 12 小时的会话持续时间。

2018 年 3 月 28 日

更新了角色创建工作流程

新的工作流程改进了创建信任关系并将权限附加到角色的过程。

2017 年 9 月 8 日

Amazon 账户登录过程

更新的 Amazon 登录体验允许根用户和 IAM 用户使用 Amazon Web Services Management Console 主页上的 Sign In to the Console(登录控制台)链接。

2017 年 8 月 25 日

示例 IAM 策略

文档更新包含 30 多个示例策略。

2017 年 8 月 2 日

IAM 最佳实践

利用添加到 IAM 控制台的 Users(用户)部分中的信息,可以更轻松地遵循 IAM 最佳实践。

2017 年 5 月 7 日

Auto Scaling 资源

资源级权限可以控制对 Auto Scaling 资源的访问以及 Auto Scaling 资源的权限。

2017 年 5 月 16 日

Amazon RDS for MySQL 和 Amazon Aurora 数据库

数据库管理员可以将数据库用户与 IAM 用户和角色相关联,从而从一个位置管理对所有 Amazon 资源的用户访问。

2017 年 4 月 24 日

服务相关角色

服务相关角色提供了更轻松、更安全的方法来将权限委派给 Amazon 服务。

2017 年 4 月 19 日

策略摘要

新的策略摘要使您可以更轻松地了解 IAM 策略中的权限。

2017 年 3 月 23 日