# 什么是 IAM? Amazon Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 Amazon 资源的访问。借助 IAM,您可以管理控制用户可访问哪些 Amazon 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(具有相应权限)来使用资源。IAM 提供了控制您 Amazon Web Services 账户 身份验证和授权所需的基础设施。 **身份** 当您创建 Amazon Web Services 账户 时,最初使用的是一个对所有 Amazon Web Services 服务和资源拥有完全访问权限的登录身份(称为 Amazon Web Services 账户*根用户*)。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 除了根用户之外,使用 IAM 还可以设置其他身份,例如管理员、分析师和开发人员,并且可以授予其访问成功完成其任务所需资源的访问权限。 **访问管理** 在 IAM 中设置用户后,他们将使用其登录凭证向 Amazon 进行身份验证。通过匹配登录凭证与受 Amazon Web Services 账户 信任的主体(IAM 用户、Amazon STS 联合主体、IAM 角色或应用程序)来进行身份验证。接下来,请求授予主体对资源的访问权限。如果用户已被授予资源的相应资源,则根据授权请求授予访问权限。例如,当您首次登录控制台并进入控制台主页时,您并未访问特定服务。当您选择一项服务时,授权请求将发送至该服务,并查看您的身份是否在授权用户列表中,正在执行哪些策略来控制授予的访问级别,以及任何其他可能生效的策略。授权请求可以由您 Amazon Web Services 账户 内的主体提出,也可以由您信任的其他 Amazon Web Services 账户 提出。 获得授权后,主体可以对您 Amazon Web Services 账户 里的资源采取行动或执行操作。例如,主体可以启动新的 Amazon Elastic Compute Cloud 实例、修改 IAM 群组成员资格或删除 Amazon Simple Storage Service 存储桶。 **提示** Amazon 培训和认证提供了介绍 IAM 的 10 分钟视频: [Amazon Identity and Access Management 简介](https://www.aws.training/learningobject/video?id=16448)。 **服务可用性** IAM 和很多其他 Amazon 服务一样,具备[最终一致性](https://wikipedia.org/wiki/Eventual_consistency)。IAM 通过复制 Amazon 在全球的数据中心内多个服务器上的数据实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。不过,更改必须跨 IAM 复制,这需要时间。此类更改包括创建或更新用户、组、角色或策略。在应用程序的关键、高可用性代码路径中,我们不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。另外,在生产工作流程依赖这些更改之前,请务必验证更改已传播。有关更多信息,请参阅 [我所做的更改可能不会立即可见](troubleshoot.md#troubleshoot_general_eventual-consistency)。 **服务费用信息** Amazon Identity and Access Management(IAM)、Amazon IAM Identity Center 和 Amazon Security Token Service(Amazon STS)是为您的 Amazon 账户提供的功能,不会另外收费。只有在您使用 IAM 用户或 Amazon STS 临时安全证书访问其他 Amazon 服务时才会向您收取费用。 IAM Access Analyzer 外部访问分析没有额外费用。但是,您需要为未使用的访问分析和客户策略检查支付费用。有关 IAM Access Analyzer 的收费和价格的完整列表,请参阅 [IAM Access Analyzer 定价](https://www.amazonaws.cn/iam/access-analyzer/pricing)。 有关其他 Amazon 产品的定价信息,请参阅 [Amazon Web Services 定价页面](https://www.amazonaws.cn/pricing/)。 **与其他 Amazon 服务集成** IAM 已与很多 Amazon 服务集成。有关与 IAM 配合使用的 Amazon 服务列表以及这些服务支持的 IAM 功能,请参阅 [使用 IAM 的 Amazon 服务](reference_aws-services-that-work-with-iam.md)。