锁定图标
AWS 云
创建免费账户


AWS Identity and Access Management (IAM) 使您能够安全地控制用户对 Amazon AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。 

IAM 是 AWS 账户提供的一项功能,不另外收费。只需为您的用户所用的其他 AWS 服务付费。

要开始使用 IAM,或者如果您已注册 AWS,请转至 AWS 管理控制台并开始采用 IAM 最佳实践

AWS IAM 视频概述

进行精细的访问控制、与您的公司目录集成,并要求对高特权用户使用 MFA。

IAM_Feature_380x380_Fine-Control

借助 IAM,您的用户能够控制对 AWS 服务 API 和特定资源的访问。您也可以使用 IAM 添加特定的条件(例如时间),以控制用户使用 AWS 的方式、其来源 IP 地址、是否使用 SSL,或是否通过多重验证设备进行身份验证。

IAM_Feature_380x380_Managed-Access-for-Mobile

您可以通过请求临时安全凭证(这些凭证仅可授于对特定 AWS 资源在可配置时限内的访问权限),让您的移动应用程序和基于浏览器的应用程序安全地访问 AWS 资源。

IAM_Feature_380x380_Multi-Factor-Authentication

使用 AWS MFA 这项加强用户名称和密码凭证的安全功能来保护您的 AWS 环境,无需额外支付费用。MFA 要求用户通过提供有效的 MFA 代码来证明其真正拥有硬件 MFA 令牌或启用 MFA 的移动设备。

IAM_Feature_380x380_Directory-Integration


通过 IAM,您可以使用您现有的身份验证系统(如 Microsoft Active Directory)向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的联合访问权限您可以使用任何支持 SAML 2.0 的身份管理解决方案,也可以使用我们的联合示例(AWS 控制台 SSOAPI 联合)。

IAM 可以帮助创建角色和权限

AWS IAM 让您能够:

管理 IAM 用户及其访问权限 – 您可以在 IAM 中创建用户,为其分配单独的安全凭证(或称为访问密钥、密码、多重验证设备)或请求临时安全凭证,供用户访问 AWS 服务和资源。您可以管理权限,以控制用户可以执行哪些操作。

管理 IAM 角色及其权限 – 您可以在 IAM 中创建角色并管理权限,以便控制承担该角色的实体或 AWS 服务可以执行哪些操作。您也可以定义由哪个实体承担该角色。

管理联合身份用户及其权限 – 您可以启用联合身份功能,以允许公司中的现有身份(用户、组和角色)访问 AWS 管理控制台、调用 AWS API 并访问资源,而无需为各个身份创建 IAM 用户。

在不降低灵活性或弹性的前提下管理访问控制

AWS 可以提供多种最佳实践来帮助 IT 专业人员和开发人员。要全面了解 IAM 最佳实践,请观看 re:Invent 2015 活动的实况录像(使用本段文字右侧的视频播放器)。

用户 – 创建单独的用户。

– 利用组来管理权限。

权限 – 授予最低权限。

审核 – 打开 AWS CloudTrail。

密码 – 配置强大的密码策略。

MFA – 为特权用户启用 MFA。

角色 – 将 IAM 角色用于 Amazon EC2 实例。

共享 – 使用 IAM 角色共享访问权限。

轮换 – 定期轮换安全凭证。

条件 – 利用条件进一步限制特权访问。

– 减少或删除根的使用。

re:Invent 2015 中赖以生存的 IAM 最佳实践
52:48
赖以生存的 IAM 最佳实践

AWS IAM 的入门非常简单。最重要的是,它无需额外付费。 

 

免费试用