AWS Identity and Access Management (IAM) 使您能夠安全地管理對 AWS 服務(wù)和資源的訪問。您可以使用 IAM 創(chuàng)建和管理 AWS 用戶和組，并使用各種權(quán)限來允許或拒絕他們對 AWS 資源的訪問。

IAM 是 AWS 賬戶提供的一項(xiàng)功能，不另外收費(fèi)。只需為您的用戶所用的其他 AWS 服務(wù)付費(fèi)。

使用案例

進(jìn)行精細(xì)的訪問控制、與您的公司目錄集成，并要求對高特權(quán)用戶使用 MFA。

[[229644]]

對 AWS 資源進(jìn)行精細(xì)訪問控制

借助 IAM，您的用戶能夠控制對 AWS 服務(wù) API 和特定資源的訪問。您也可以使用 IAM 添加特定的條件 (例如時間)，以控制用戶使用 AWS 的方式、其來源 IP 地址、是否使用 SSL，或是否通過多重驗(yàn)證設(shè)備進(jìn)行身份驗(yàn)證。

[[229645]]

通過 Web 身份提供商管理移動應(yīng)用程序的訪問控制

您可以通過請求臨時安全憑證 (這些憑證僅可授予對特定 AWS 資源在可配置時限內(nèi)的訪問權(quán)限)，使您的移動版和基于瀏覽器的應(yīng)用程序安全地訪問 AWS 資源。

[[229646]]

適用于高特權(quán)用戶的多重驗(yàn)證

使用 AWS MFA 這項(xiàng)加強(qiáng)用戶名稱和密碼憑證的安全功能來保護(hù)您的 AWS 環(huán)境，無需額外支付費(fèi)用。MFA 要求用戶通過提供有效的 MFA 代碼來證明其真正擁有硬件 MFA 令牌或啟用 MFA 的移動設(shè)備。

[[229647]]

與公司目錄集成

通過 IAM，您可以使用您現(xiàn)有的身份驗(yàn)證系統(tǒng) (如 Microsoft Active Directory) 向員工和應(yīng)用程序授予對 AWS 管理控制臺和 AWS 服務(wù) API 的聯(lián)合訪問權(quán)限。您可以使用任何支持 SAML 2.0 的身份管理解決方案，也可以使用我們的聯(lián)合示例 (AWS 控制臺 SSO 或 API 聯(lián)合)。

功能

IAM 可以幫助創(chuàng)建角色和權(quán)限

AWS IAM 讓您能夠：

• 管理 IAM 用戶及其訪問權(quán)限 - 您可以在 IAM 中創(chuàng)建用戶，為其分配單獨(dú)的安全憑證 (或稱為訪問密鑰、密碼、多重驗(yàn)證設(shè)備) 或請求臨時安全憑證，供用戶訪問 AWS 服務(wù)和資源。您可以管理權(quán)限，以控制用戶可以執(zhí)行哪些操作。
• 管理 IAM 角色及其權(quán)限 - 您可以在 IAM 中創(chuàng)建角色并管理權(quán)限，以便控制承擔(dān)該角色的實(shí)體或 AWS 服務(wù)可以執(zhí)行哪些操作。您也可以定義由哪個實(shí)體承擔(dān)該角色。此外，您可以使用與服務(wù)關(guān)聯(lián)的角色向代表您創(chuàng)建與管理 AWS 資源的各種 AWS 服務(wù)委派權(quán)限。
• 管理聯(lián)合身份用戶及其權(quán)限 - 您可以啟用聯(lián)合身份功能，以允許公司中的現(xiàn)有身份 (用戶、組和角色) 訪問 AWS 管理控制臺、調(diào)用 AWS API 并訪問資源，而無需為各個身份創(chuàng)建 IAM 用戶。使用任何支持 SAML 2.0 的身份管理解決方案，或使用我們的聯(lián)合示例 (AWS 控制臺 SSO 或 API 聯(lián)合)。