# 适用于 Amazon 资源的 Access Management
Amazon Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 Amazon 资源的访问。当[主体](https://docs.amazonaws.cn/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)在 Amazon 中发出请求时,Amazon 执行代码会检查是否对主体进行身份验证(登录)和授权(具有权限)。您将创建策略并将其附加到 IAM 身份或 Amazon 资源,以便管理 Amazon 中的访问。策略是 Amazon 中的 JSON 文档,在附加到身份或资源时,策略定义它们的权限。有关策略类型和用法的更多信息,请参阅[Amazon Identity and Access Management 中的策略和权限](access_policies.md)。
有关身份验证和授权过程的其余部分的详细信息,请参阅[IAM 的工作原理](intro-structure.md)。
![\[AccessManagement_Diagram\]](http://docs.amazonaws.cn/IAM/latest/UserGuide/images/access-diagram_800.png)
在授权期间,Amazon 执行代码使用[请求上下文](intro-structure.md#intro-structure-request)中的值检查匹配的策略并确定是允许还是拒绝请求。
Amazon 检查应用于请求上下文的每个策略。如果一个策略拒绝请求,Amazon 将拒绝整个请求并停止评估策略。这称为*显式拒绝*。由于请求是*默认拒绝的*,因此,只有在适用的策略允许请求的每个部分时,IAM 才会授权请求。单个账户中对于请求的[评估逻辑](reference_policies_evaluation-logic.md)遵循以下规则:
+ 默认情况下,所有请求都被隐式拒绝。(或者,默认情况下,Amazon Web Services 账户根用户 拥有完全访问权限。)
+ 基于身份或基于资源的策略中的显式允许将覆盖此默认值。
+ 如果存在权限边界、Amazon Organizations SCP 或会话策略,它可能会使用隐式拒绝覆盖允许。
+ 任何策略中的显式拒绝将覆盖任何允许。
在对您的请求进行身份验证和授权后,Amazon 将批准该请求。如果您需要在另一个账户中发出请求,其他账户中的策略必须允许访问资源。此外,您用于发出请求的 IAM 实体必须具有基于身份的策略,该策略允许该请求。
## 访问管理资源
有关权限和创建策略的更多信息,请参阅以下资源:
Amazon 安全博客中的以下文章介绍 Amazon S3 存储桶和对象访问策略的常用编写方法。
+ [编写 IAM policy:如何授予对 Amazon S3 存储桶的访问权限](https://www.amazonaws.cn/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [编写 IAM policy:授予对 Amazon S3 存储桶中用户特定文件夹的访问权限](https://www.amazonaws.cn/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [IAM policy、存储桶策略和 ACL!天哪!(Controlling Access to S3 Resources)](https://www.amazonaws.cn/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)(控制对 S3 资源的访问)。
+ [RDS 资源级别权限读本](https://www.amazonaws.cn/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [阐明 EC2 资源级权限](https://www.amazonaws.cn/blogs/security/demystifying-ec2-resource-level-permissions/)