AWS 身份及验证服务(四)
IAM 概述 集中管理访问AWS资源的访问权限和用户身份认证 支持联合访问管理,支持LADP第三方服务 (Identity Provider) 是非区域相关的服务,全局有效 创建用户、组和角色以应用策略 安全凭证类型包括: 电子邮件和密码、IAM用户名和密码、访问密匙、多重验证(MFA)、密匙对 密码策略管理和KMS加密解密管理 建议始终使用创建和管理IAM账户来进行操作 IAM遵循最低特权原则,即所有权限被隐式拒绝,而显式拒绝拥有最高优先级 IAM是权限与实体进行匹配的正式语句 策略可以应用于任何实体,包括用户、组和角色 策略可以一对多也可以多对一 委托人 委托人是允许与AWS资源交互的IAM实体,可以是人或应用程序,也可以是临时或永久的。 有三种委托人身份:根用户、IAM用户(组)和角色 根用户 第一次创建AWS时的登录主体,可以完全访问所有账户中的AWS资源与服务 强烈建议不要将根账户用于任何的日常任务或是管理员 必须安全的锁定根用户的用户凭证 根用户也是Billing Account 等同于Owner ,创建AWS账户的实体和Email地址 IAM用户 可以通过IAM服务创建持久性身份,可以是个人或应用程序 IAM用户可以随时由IAM管理权限的主体创建 需要提供与AWS交互的方法, 支持AWS控制台用户名密码、CLI或者SDK等方式管理IAM用户