什么是 IAM

Amazon Identity and Access Management (IAM) 是一种 Web 服务，可以帮助您安全地控制对 Amazon 资源的访问。借助 IAM，您可以管理控制用户可访问哪些 Amazon 资源的权限。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。IAM 提供了控制您 Amazon Web Services 账户 身份验证和授权所需的基础设施。

当您创建 Amazon Web Services 账户 时，最初使用的是一个对账户中所有 Amazon Web Services 和资源拥有完全访问权限的登录身份。此身份称为 Amazon Web Services 账户 根用户，使用您创建账户时所用的电子邮件地址和密码登录，即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表，请参阅《IAM 用户指南》中的需要根用户凭证的任务。除了根用户之外，使用 IAM 还可以设置其他用户，例如管理员、分析师和开发人员，并且可以授予他们访问成功完成任务所需的资源的访问权限。

在 IAM 中设置用户后，他们将使用其登录凭证向 Amazon 进行身份验证。通过匹配登录凭证与受 Amazon Web Services 账户 信任的主体（IAM 用户、联合用户、IAM 角色或应用程序）来进行身份验证。接下来，请求授予主体对资源的访问权限。如果用户已被授予资源的相应资源，则根据授权请求授予访问权限。例如，当您首次登录控制台并进入控制台主页时，您并未访问特定服务。当您选择一项服务时，授权请求将发送至该服务，并查看您的身份是否在授权用户列表中，正在执行哪些策略来控制授予的访问级别，以及任何其他可能生效的策略。授权请求可以由您 Amazon Web Services 账户 内的主体提出，也可以由您信任的其他 Amazon Web Services 账户 提出。

获得授权后，主体可以对您 Amazon Web Services 账户 里的资源采取行动或执行操作。例如，主体可以启动新的 Amazon Elastic Compute Cloud 实例、修改 IAM 群组成员资格或删除 Amazon Simple Storage Service 存储桶。

IAM 和很多其他 Amazon 服务一样，具备最终一致性。IAM 通过复制 Amazon 在全球的数据中心内多个服务器上的数据实现高可用性。如果成功请求更改某些数据，则更改会提交并安全存储。不过，更改必须跨 IAM 复制，这需要时间。此类更改包括创建或更新用户、组、角色或策略。在应用程序的关键、高可用性代码路径中，我们不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。另外，在生产工作流程依赖这些更改之前，请务必验证更改已传播。有关更多信息，请参阅 我所做的更改可能不会立即可见。

Amazon Identity and Access Management (IAM) 和 Amazon Security Token Service (Amazon STS) 是为您的 Amazon 账户提供的一项功能，不会另外收费。只有在您使用 IAM 用户或 Amazon STS 临时安全证书访问其他 Amazon 服务时才会向您收取费用。有关其他 Amazon 产品的定价信息，请参阅 Amazon Web Services 定价页面。

IAM 已与很多 Amazon 服务集成。有关使用 IAM 的 Amazon 服务的列表，请参阅 使用 IAM 的Amazon服务。

Amazon 培训和认证提供了介绍 IAM 的 10 分钟视频：

Amazon Identity and Access Management 简介

有关 IAM 概念的更多信息，请参阅以下主题：