AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

资源

IAM 是一种丰富的产品,您可找到许多资源来帮助了解有关 IAM 如何帮助保护 AWS 账户和资源的更多信息。

用户和组

请参阅这些资源以便创建、管理和使用用户和组。

证书(密码、访问密钥和 MFA 设备)

查看以下指南为您的 AWS 账户和 IAM 用户管理密码。您还会找到有关访问密钥 (用于对 AWS 进行编程调用的私有密钥) 的信息。

  • AWS 安全凭证 – 介绍您用于访问 Amazon Web Services 的凭证类型,说明如何创建和管理它们,并包含有关安全地管理访问密钥的建议。

  • 管理密码管理 IAM 用户的访问密钥 – 介绍为账户中的 IAM 用户管理凭证的选项。

  • 在 AWS 中使用多重验证 (MFA) – 介绍如何配置账户和 IAM 用户以要求在允许登录之前提供密码和一次性使用代码 (在设备上生成)。(这有时称为双重身份验证。)

权限与策略

了解 IAM 策略的内部工作原理并查找有关授予权限的最佳方式的提示:

  • IAM 策略 – 介绍如何将权限附加到用户或组或是 (对于一些 AWS 产品) 资源本身。

  • IAM 策略 – 介绍用于定义权限的策略语言。

  • IAM JSON 策略元素参考 – 提供每个策略语言元素的说明和示例。

  • 示例策略 – 演示用于各种 AWS 产品中的常见任务的策略示例。

  • AWS 策略生成器 – 通过从列表选择产品和操作来创建自定义策略。

  • IAM 策略模拟器 – 测试策略是允许还是拒绝特定 AWS 操作。以下视频 (6:28) 提供概述并演示操作中的策略模拟器。

联合和委托

您可以为在其他位置进行了身份验证 (登录) 的用户授予对您 AWS 账户中的资源的访问权限。这些可以是其他 AWS 账户中的 IAM 用户 (称为委托)、使用您组织的登录过程进行了身份验证的用户或是来自 Internet 身份提供商 (如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect (OIDC) 兼容的身份提供商) 的用户。在这些情况下,用户可获取临时安全凭证以访问 AWS 资源。

IAM 和其他 AWS 产品

大多数 AWS 产品与 IAM 集成,以便您可以使用 IAM 功能帮助保护对这些产品中的资源的访问。以下资源讨论 IAM 以及一些最受欢迎的 AWS 产品的安全性。有关使用 IAM 的产品的完整列表 (包括有关每个产品的更多信息的链接),请参阅 使用 IAM 的 AWS 服务

配合使用 IAM 和 Amazon EC2

  • 控制对 Amazon EC2 资源的访问 – 介绍如何使用 IAM 功能允许用户管理 Amazon EC2 实例、卷等。

  • 使用实例配置文件 – 介绍如何使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序以及需要访问其他 AWS 产品的应用程序安全地提供凭证。

配合使用 IAM 和 Amazon S3

配合使用 IAM 和 Amazon RDS

配合使用 IAM 和 Amazon DynamoDB

  • 使用 IAM 控制对 DynamoDB 资源的访问 – 介绍如何使用 IAM 允许用户管理 DynamoDB 表和索引。

  • 以下视频 (8:55) 说明如何为各个 DynamoDB 数据库项目或属性 (或两者) 提供访问控制。

一般安全实践

查找有关保护 AWS 账户和资源的最佳方式的专家提示和指南:

  • AWS 安全最佳实践 (PDF) – 深入介绍如何跨 AWS 账户和产品管理安全性,包括有关安全架构、IAM 的使用、加密和数据安全等的建议。

  • IAM 最佳实践 – 提供有关使用 IAM 帮助保护 AWS 账户和资源的方式的建议。

  • AWS CloudTrail User Guide – 使用 AWS CloudTrail 可跟踪对 AWS 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。

一般资源

浏览以下资源可了解有关 IAM 和 AWS 的更多信息。

  • 课程和研讨会 – 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强 AWS 技能并获得实践经验。

  • AWS 开发人员工具 – 指向开发人员工具、软件开发工具包、IDE 工具包和命令行工具的链接,这些资源用于开发和管理 AWS 应用程序。

  • AWS 白皮书 – 指向 AWS 技术白皮书的完整列表的链接,这些资料涵盖了架构、安全性、经济性等主题,由 AWS 解决方案架构师或其他技术专家编写。

  • AWS Support 中心 - 用于创建和管理 AWS Support 案例的中心。还包括指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况和 AWS Trusted Advisor。

  • AWS Support - 提供有关 AWS Support 信息的主要网页,是一种一对一的快速响应支持渠道,可帮助您在云中构建和运行应用程序。

  • 联系我们 - 查询有关 AWS 账单、账户、事件、滥用和其他问题的中央联系点。

  • AWS 网站条款 - 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。