资源
IAM 是一种丰富的产品,您可找到许多资源来帮助了解有关 IAM 如何帮助保护 AWS 账户和资源的更多信息。
用户和组
请参阅这些资源以便创建、管理和使用用户和组。
-
创建您的第一个 IAM 管理员用户和组 – 演示如何创建 IAM 用户和分配权限的分步过程。
-
身份 (用户、组和角色) – 有关如何管理 IAM 用户和组的深入讨论。
-
有关何时使用账户、用户和组的指南 – 一篇 AWS 安全博客文章,讨论如何使用单独的 AWS 账户或使用单个账户中的 IAM 用户和组来组织用户访问。
证书(密码、访问密钥和 MFA 设备)
查看以下指南为您的 AWS 账户和 IAM 用户管理密码。您还会找到有关访问密钥(用于对 AWS 进行编程调用的私有密钥)的信息。
-
AWS 安全凭证 – 介绍您用于访问 Amazon Web Services 的凭证类型,说明如何创建和管理它们,并包含有关安全地管理访问密钥的建议。
-
管理密码和管理 IAM 用户的访问密钥 – 介绍为账户中的 IAM 用户管理凭证的选项。
-
在 AWS 中使用 Multi-Factor Authentication (MFA) – 介绍如何配置账户和 IAM 用户以要求在允许登录之前提供密码和一次性使用代码(在设备上生成)。(这有时称为双重身份验证)。
权限与策略
了解 IAM 策略的内部工作原理并查找有关授予权限的最佳方式的提示:
-
策略和权限 – 介绍如何将权限附加到用户或组或是(对于一些 AWS 产品)资源本身。
-
策略和权限 – 介绍用于定义权限的策略语言。
-
IAM JSON 策略元素参考 – 提供每个策略语言元素的说明和示例。
-
IAM 基于身份的策略示例 – 演示用于各种 AWS 产品中的常见任务的策略示例。
-
AWS 策略生成器 – 通过从列表选择产品和操作来创建自定义策略。
-
IAM 策略模拟器 – 测试策略是允许还是拒绝特定 AWS 操作。以下视频 (6:28) 提供概述并演示操作中的策略模拟器。
联合和委托
您可以为在其他位置进行了身份验证 (登录) 的用户授予对您 AWS 账户中的资源的访问权限。这些可以是其他 AWS 账户中的 IAM 用户(称为委托)、使用您组织的登录过程进行了身份验证的用户或是来自 Internet 身份提供商(如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect (OIDC) 兼容的身份提供商)的用户。在这些情况下,用户可获取临时安全凭证以访问 AWS 资源。
-
教程:使用 IAM 角色委派跨 AWS 账户的访问权限 – 指导您向其他 AWS 账户中的 IAM 用户授予跨账户访问权限。
-
临时凭证的常见情形 – 介绍在 AWS 外部进行身份验证之后使用户经过联合身份验证进入 AWS 的方式。
-
身份联合 – 使您可以体验 Login with Amazon、Google 或 Facebook 以进行身份验证,然后对 Amazon S3 进行调用。
IAM 和其他 AWS 产品
大多数 AWS 产品与 IAM 集成,以便您可以使用 IAM 功能帮助保护对这些产品中的资源的访问。以下资源讨论 IAM 以及一些最受欢迎的 AWS 产品的安全性。有关使用 IAM 的产品的完整列表(包括有关每个产品的更多信息的链接),请参阅 使用 IAM 的 AWS 服务。
配合使用 IAM 和 Amazon EC2
-
控制对 Amazon EC2 资源的访问 – 介绍如何使用 IAM 功能允许用户管理 Amazon EC2 实例、卷等。
-
使用实例配置文件 – 介绍如何使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序以及需要访问其他 AWS 产品的应用程序安全地提供凭证。
配合使用 IAM 和 Amazon S3
-
管理对 Amazon S3 资源的访问权限 – 讨论用于存储桶和对象(包括 IAM 策略)的 Amazon S3 安全模型。
-
编写 IAM 策略:授予 Amazon S3 存储桶中用户特定文件夹的访问权限 – 讨论如何让用户在 Amazon S3 中保护自己的文件夹。(有关 Amazon S3 和 IAM 的更多文章,请在博客文章标题下选择 S3 标签。)
配合使用 IAM 和 Amazon RDS
-
使用 AWS Identity and Access Management (IAM) 管理对 Amazon RDS 资源的访问 – 介绍如何使用 IAM 控制对数据库实例、数据库快照等的访问。
-
RDS 资源级别权限读本 – 介绍如何使用 IAM 控制对特定 Amazon RDS 实例的访问。
配合使用 IAM 和 Amazon DynamoDB
-
使用 IAM 控制对 DynamoDB 资源的访问 – 介绍如何使用 IAM 允许用户管理 DynamoDB 表和索引。
-
以下视频 (8:55) 说明如何为各个 DynamoDB 数据库项目或属性 (或两者) 提供访问控制。
一般安全实践
查找有关保护 AWS 账户和资源的最佳方式的专家提示和指南:
-
AWS 安全最佳实践 (PDF) – 深入介绍如何跨 AWS 账户和产品管理安全性,包括有关安全架构、IAM 的使用、加密和数据安全等的建议。
-
IAM 最佳实践 – 提供有关使用 IAM 帮助保护 AWS 账户和资源的方式的建议。
-
AWS CloudTrail User Guide – 使用 AWS CloudTrail 可跟踪对 AWS 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。
一般资源
浏览以下资源可了解有关 IAM 和 AWS 的更多信息。
-
IAM 的产品信息 – 有关 AWS Identity and Access Management 产品的一般信息。
-
AWS Identity and Access Management 开发论坛 – 供客户讨论与 IAM 有关的技术问题的社区论坛。
-
课程和研讨会 – 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强 AWS 技能并获得实践经验。
-
AWS 开发人员工具 – 指向开发人员工具、软件开发工具包、IDE 工具包和命令行工具的链接,这些资源用于开发和管理 AWS 应用程序。
-
AWS 白皮书 – 指向 AWS 技术白皮书的完整列表的链接,这些资料涵盖了架构、安全性、经济性等主题,由 AWS 解决方案架构师或其他技术专家编写。
-
AWS Support 中心 - 用于创建和管理 AWS Support 案例的中心。还包括指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况和 AWS Trusted Advisor。
-
AWS Support - 提供有关 AWS Support 信息的主要网页,是一种一对一的快速响应支持渠道,可帮助您在云中构建和运行应用程序。
-
联系我们 - 查询有关 AWS 账单、账户、事件、滥用和其他问题的中央联系点。
-
AWS 网站条款 - 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。