了解 IAM 详情的资源
IAM 是一种丰富的产品,您可找到许多资源来帮助了解有关 IAM 如何帮助保护 Amazon 账户和资源的更多信息。
用户和组
请参阅这些资源以便创建、管理和使用用户和组。
-
创建您的第一个 IAM 管理员用户和用户组 – 演示如何创建 IAM 用户和分配权限的分步过程。
-
IAM 身份(用户、用户组和角色) – 有关如何管理 IAM 用户和组的深入讨论。
-
有关何时使用账户、用户和组的指南
Amazon 一篇 安全博客文章,讨论如何使用单独的 Amazon 账户或使用单个账户中的 IAM 用户和组来组织用户访问。
证书(密码、访问密钥和 MFA 设备)
查看以下指南为您的 Amazon 账户和 IAM 用户管理密码。您还可以找到有关访问密钥的信息 — 该密钥用于以编程的方式调用 Amazon。
-
Amazon 安全凭证 - 介绍您用于访问亚马逊云科技的凭证类型,说明如何创建和管理它们,并包含有关安全地管理访问密钥的建议。
-
在 Amazon 中管理用户密码 和 管理 IAM 用户的访问密钥 - 介绍为账户中的 IAM 用户管理凭证的选项。
-
在 Amazon 中使用多重身份验证 (MFA) - 介绍如何配置账户和 IAM 用户以要求在允许登录之前提供密码和一次性使用代码(在设备上生成)。(这有时称为双重身份验证)。
权限与策略
了解 IAM 策略的内部工作原理并查找有关授予权限的最佳方式的提示:
-
IAM 中的策略和权限。 - 介绍用于定义权限的策略语言。介绍如何将权限附加到用户或组或是 (对于一些 Amazon 产品) 资源本身。
-
IAM JSON 策略元素参考 - 提供每个策略语言元素的说明和示例。
-
验证 IAM 策略 — 查找用于 JSON 策略验证的资源。
-
IAM 基于身份的策略示例 - 说明了用于各种 Amazon 产品中的常见任务的策略示例。
-
Amazon 策略生成器
- 通过从列表选择产品和操作来创建自定义策略。 -
IAM 策略模拟器
- 测试策略是允许还是拒绝对 Amazon 的特定请求。
联合和委托
您可以为在其他位置进行了身份验证 (登录) 的用户授予对您 Amazon 账户中的资源的访问权限。这些可以是其他 Amazon 账户中的 IAM 用户(称为委托)、使用您企业的登录过程进行了身份验证的用户或是来自 Internet 身份提供商(如 Login with Amazon、Facebook、Google 或任何其他与 OpenID Connect (OIDC) 兼容的身份提供商)的用户。在这些情况下,用户可获取临时安全凭证以访问 Amazon 资源。
-
IAM 教程:使用 IAM 角色委托跨 Amazon 账户的访问权限 - 指导您向其他 Amazon 账户中的 IAM 用户授予跨账户访问权限。
-
临时凭证的常见情形 - 介绍在 Amazon 外部进行身份验证之后使用户经过联合身份验证进入 Amazon 的方式。
-
Web Identity Federation Playground
- 使您可以体验 Login with Amazon、Google 或 Facebook 以进行身份验证,然后对 Amazon S3 进行调用。
IAM 和其他 Amazon 产品
大多数 Amazon 产品与 IAM 集成,以便您可以使用 IAM 功能帮助保护对这些产品中的资源的访问。以下资源讨论 IAM 以及一些最受欢迎的 Amazon 产品的安全性。有关使用 IAM 的产品的完整列表(包括有关每个产品的更多信息的链接),请参阅 使用 IAM 的 Amazon 服务。
将 IAM 与 Amazon EC2 结合使用
-
控制对 Amazon EC2 资源的访问 - 介绍如何使用 IAM 功能允许用户管理 Amazon EC2 实例、卷等。
-
使用实例配置文件 - 介绍如何使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序以及需要访问其他 Amazon 产品的应用程序安全地提供凭证。
将 IAM 与 Amazon S3 结合使用
-
管理对 Amazon S3 资源的访问权限 - 讨论用于存储桶和对象(包括 策略)的 Amazon S3 安全模型。
-
编写 IAM 策略:授予 Amazon S3 存储桶中用户特定文件夹的访问权限
- 讨论如何让用户在 Amazon S3 中保护自己的文件夹。(有关 Amazon S3 和 IAM 的更多文章,请在博客文章标题下选择 S3 标签。)
将 IAM 与 Amazon RDS 结合使用
-
使用 Amazon Identity and Access Management (IAM) 来管理对 Amazon RDS 资源的访问 — 介绍如何使用 IAM 控制对数据库实例、数据库快照等的访问。
-
RDS 资源级别权限读本
- 介绍如何使用 IAM 控制对特定 Amazon RDS 实例的访问。
将 IAM 与 Amazon DynamoDB 结合使用
-
使用 IAM 控制对 DynamoDB 资源的访问 - 介绍如何使用 IAM 允许用户管理 DynamoDB 表和索引。
一般安全实践
查找有关保护 Amazon 账户和资源的最佳方式的专家提示和指南:
-
Amazon 安全最佳实践
(PDF) - 深入介绍如何跨 Amazon 账户和产品管理安全性,包括有关安全架构、IAM 的使用、加密和数据安全等的建议。 -
IAM 中的安全最佳实践 - 提供有关使用 IAM 帮助保护 Amazon 账户和资源的方式的建议。
-
Amazon CloudTrail 用户指南 - 使用 Amazon CloudTrail 可跟踪对 Amazon 进行的 API 调用的历史记录并将这些信息存储在日志文件中。这有助于确定访问了您账户中的资源的用户和账户、进行调用的时间、请求的操作等。
一般资源
浏览以下资源可了解有关 IAM 和 Amazon 的更多信息。
-
IAM 的产品信息
- 有关 Amazon Identity and Access Management 产品的一般信息。 -
Amazon Identity and Access Management 开发论坛
- 供客户讨论与 IA 有关的技术问题的社区论坛。
-
课程和研讨会
– 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强Amazon技能并获得实践经验。 -
Amazon开发人员工具
– 指向开发人员工具、开发工具包、IDE 工具包和命令行工具的链接,这些资源用于开发和管理Amazon应用程序。 -
Amazon白皮书
– 指向Amazon技术白皮书的完整列表的链接,这些资料涵盖了架构、安全性、经济性等主题,由Amazon解决方案架构师或其他技术专家编写。 -
Amazon Web Services Support 中心
– 用于创建和管理 Amazon Web Services Support 案例的中心。还提供指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况以及Amazon Trusted Advisor。 -
Amazon Web Services Support
– 提供有关 Amazon Web Services Support 的信息的主要网页,这是一个一对一的快速响应支持渠道,可以帮助您在云中构建和运行应用程序。 -
联系我们
– 用于查询有关Amazon账单、账户、事件、滥用和其他问题的中央联系点。 -
Amazon网站条款
– 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。