适用于 JavaScript 的 Amazon SDK v2 已终止支持。建议您迁移到 [适用于 JavaScript 的 Amazon SDK v3](https://docs.amazonaws.cn//sdk-for-javascript/v3/developer-guide/)。有关更多详情和如何迁移的信息,请参阅本[公告](https://www.amazonaws.cn/blogs//developer/announcing-end-of-support-for-aws-sdk-for-javascript-v2/)。 # 身份和访问管理 身份和访问管理 Amazon Identity and Access Management(IAM)是一项 Amazon Web Services 服务,可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过*身份验证*(登录)和*授权*(具有权限)来使用 Amazon 资源。IAM 是一项无需额外费用即可使用的。Amazon Web Services 服务 **Topics** + [ ## 受众 ](#security_iam_audience) + [ ## 使用身份进行身份验证 ](#security_iam_authentication) + [ ## 使用策略管理访问 ](#security_iam_access-manage) + [ ## Amazon Web Services 服务如何与 IAM 协同工作 ](#security_iam_service-with-iam) + [ ## 对 Amazon 身份和访问进行问题排查 ](#security_iam_troubleshoot) ## 受众 使用 Amazon Identity and Access Management(IAM)的方式因您可以在 Amazon 中执行的操作而异。 **服务用户** – 如果使用 Amazon Web Services 服务来执行任务,则管理员会为您提供所需的凭证和权限。当您使用更多 Amazon 特征来完成工作时,您可能需要额外权限。了解如何管理访问权限有助于您向管理员请求适合的权限。如果您无法访问 Amazon 中的功能,请参阅[对 Amazon 身份和访问进行问题排查](#security_iam_troubleshoot)或您所使用的 Amazon Web Services 服务的用户指南。 **服务管理员**:如果您在公司负责管理 Amazon 资源,则您可能具有 Amazon 的完全访问权限。您有责任确定您的服务用户应访问哪些 Amazon 特征和资源。然后,您必须向 IAM 管理员提交请求以更改服务用户的权限。请查看该页面上的信息以了解 IAM 的基本概念。要详细了解您的公司如何将 IAM 与 Amazon 结合使用,请参阅您所使用的 Amazon Web Services 服务的用户指南。 **IAM 管理员**:如果您是 IAM 管理员,您可能希望了解如何编写策略以管理对 Amazon 的访问权限的详细信息。要查看您可在 IAM 中使用的 Amazon 基于身份的策略示例,请参阅您所使用的 Amazon Web Services 服务的用户指南。 ## 使用身份进行身份验证 身份验证是您使用身份凭证登录 Amazon 的方法。您必须作为 Amazon Web Services 账户根用户、IAM 用户或通过担任 IAM 角色进行身份验证。 对于编程访问,Amazon 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的 Amazon 签名版本 4](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_sigv.html)。 ### Amazon Web Services 账户 根用户 当您创建 Amazon Web Services 账户 时,最初使用的是一个对所有 Amazon Web Services 服务和资源拥有完全访问权限的登录身份(称为 Amazon Web Services 账户*根用户*)。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 ### 联合身份 作为最佳实践,请要求人类用户必须使用带有身份提供者的联合身份验证才能使用临时凭证访问 Amazon Web Services 服务。 *联合身份*是来自企业目录、Web 身份提供者的用户,或 Amazon Directory Service 中的用户(这些用户使用来自身份源的凭证访问 Amazon Web Services 服务)。联合身份代入可提供临时凭证的角色。 ### IAM 用户和群组 *[IAM 用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅*《IAM 用户指南》*中的[要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 Amazon](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 [https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.amazonaws.cn/IAM/latest/UserGuide/gs-identities-iam-users.html)。 ### IAM 角色 *[IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 Amazon CLI 或 Amazon API 操作来担任角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage-assume.html)。 IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 ## 使用策略管理访问 您将创建策略并将其附加到 Amazon 身份或资源,以控制 Amazon 中的访问。策略在与身份或资源关联时定义权限。当主体发出请求时,Amazon 会评估这些策略。大多数策略在 Amazon 中存储为 JSON 文档。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#access_policies-json)。 管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。 默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。 ### 基于身份的策略 基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。 基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。 ### 基于资源的策略 基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用来自 IAM 的 Amazon 托管式策略。 ### 访问控制列表(ACL) 访问控制列表(ACL)控制哪些主体(账户成员、用户或角色)有权访问资源。ACL 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。 Amazon S3、Amazon WAF 和 Amazon VPC 是支持 ACL 的服务示例。要了解有关 ACL 的更多信息,请参阅《Amazon Simple Storage Service 开发人员指南》**中的[访问控制列表(ACL)概览](https://docs.amazonaws.cn/AmazonS3/latest/userguide/acl-overview.html)。 ### 其他策略类型 Amazon 支持额外的策略类型,这些策略类型可以设置由更常用的策略类型授予的最大权限: + **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_boundaries.html)。 + **服务控制策略(SCP)**– 指定 Amazon Organizations 中组织或组织单元的最大权限。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 + **资源控制策略(RCP)**– 设置对账户中资源的最大可用权限。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[资源控制策略(RCP)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)。 + **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#policies_session)。 ### 多个策略类型 当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解 Amazon 如何确定在涉及多种策略类型时是否允许请求,请参阅《IAM 用户指南》**中的[策略评估逻辑](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。 ## Amazon Web Services 服务如何与 IAM 协同工作 要大致了解 Amazon Web Services 服务如何与大多数 IAM 功能结合使用,请参阅《IAM 用户指南》**中的[与 IAM 结合使用的 Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 要学习如何将特定的 Amazon Web Services 服务与 IAM 结合使用,请参阅相关服务的《用户指南》的安全部分。 ## 对 Amazon 身份和访问进行问题排查 使用以下信息可帮助您诊断和修复在使用 Amazon 和 IAM 时可能遇到的常见问题。 **Topics** + [ ### 我无权在 Amazon 中执行操作 ](#security_iam_troubleshoot-no-permissions) + [ ### 我无权执行 iam:PassRole ](#security_iam_troubleshoot-passrole) + [ ### 我希望允许我的 Amazon Web Services 账户以外的人访问我的 Amazon 资源 ](#security_iam_troubleshoot-cross-account-access) ### 我无权在 Amazon 中执行操作 如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。 当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `awes:GetWidget` 权限时,会发生以下示例错误。 ``` User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget ``` 在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `awes:GetWidget` 操作访问 `my-example-widget` 资源。 如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。 ### 我无权执行 iam:PassRole 如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。Amazon 有些 Amazon Web Services 服务 允许您将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。 当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Amazon 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` 在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。 如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。 ### 我希望允许我的 Amazon Web Services 账户以外的人访问我的 Amazon 资源 您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。 要了解更多信息,请参阅以下内容: + 要了解 Amazon 是否支持这些特征,请参阅 [Amazon Web Services 服务如何与 IAM 协同工作](#security_iam_service-with-iam) + 要了解如何为您拥有的 Amazon Web Services 账户 中的资源提供访问权限,请参阅《IAM 用户指南》**中的[为您拥有的另一个 Amazon Web Services 账户 中的 IAM 用户提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 + 要了解如何为第三方 Amazon Web Services 账户 提供您的资源的访问权限,请参阅《IAM 用户指南》**中的[为第三方拥有的 Amazon Web Services 账户 提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。 + 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。 + 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。