锁定图标

AWS Identity and Access Management (IAM)

AWS 云

安全地控制您的用户对 AWS 服务和资源的访问

创建免费账户

IAM 主页

产品详细信息

入门

资源和工具

常见问题

合作伙伴


AWS Identity and Access Management (IAM) 使您能够安全地控制用户对 Amazon AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。 

IAM 是 AWS 账户提供的一项功能,不另外收费。只需为您的用户所用的其他 AWS 服务付费。

要开始使用 IAM,或者如果您已注册 AWS,请转至 AWS 管理控制台并开始采用 IAM 最佳实践

AWS IAM 视频概述
在 Twitter 上关注 @AWSSecurityInfo

在 Twitter 上关注我们!

新增功能

2016 年前 10 大热门文档:

The Top 10 Most Downloaded AWS Security and Compliance Documents in 2016

合规性:

FedRAMP Compliance Update: AWS GovCloud (US) Region Receives a JAB-Issued FedRAMP High Baseline P-ATO for Three New Services

2016 年前 20 大热门文档页面:

The Top 20 Most Viewed AWS IAM Documentation Pages in 2016

2016 年浏览量最高的安全博客文章:

The Most Viewed AWS Security Blog Posts in 2016

How to Audit Cross-Account Roles Using AWS CloudTrail and Amazon CloudWatch Events
Enable Your Federated Users to Work in the AWS Management Console for up to 12 Hours

操作说明:

How to Monitor AWS Account Configuration Changes and API Calls to Amazon EC2 Security Groups

常见问题:

SAML Identity Federation: Follow-Up Questions, Materials, Guides, and Templates from an AWS re:Invent 2016 Workshop (SEC306)

新增 AWS DevOps 博客文章:

New on the AWS DevOps Blog: Introducing Git Credentials–A Simple Way to Connect to AWS CodeCommit Repositories Using a Static User Name and Password

公告:

EU Compliance Update

使用案例

进行精细的访问控制、与您的公司目录集成,并要求对高特权用户使用 MFA。

IAM_Feature_380x380_Fine-Control

对 AWS 资源进行精细访问控制

借助 IAM,您的用户能够控制对 AWS 服务 API 和特定资源的访问。您也可以使用 IAM 添加特定的条件(例如时间),以控制用户使用 AWS 的方式、其来源 IP 地址、是否使用 SSL,或是否通过多重验证设备进行身份验证。

IAM_Feature_380x380_Managed-Access-for-Mobile

通过 Web 身份提供商管理移动应用程序的访问控制

您可以通过请求临时安全凭证(这些凭证仅可授于对特定 AWS 资源在可配置时限内的访问权限),让您的移动应用程序和基于浏览器的应用程序安全地访问 AWS 资源。

IAM_Feature_380x380_Multi-Factor-Authentication

适用于高特权用户的多重验证

使用 AWS MFA 这项加强用户名称和密码凭证的安全功能来保护您的 AWS 环境,无需额外支付费用。MFA 要求用户通过提供有效的 MFA 代码来证明其真正拥有硬件 MFA 令牌或启用 MFA 的移动设备。

IAM_Feature_380x380_Directory-Integration

与公司目录集成


通过 IAM,您可以使用您现有的身份验证系统(如 Microsoft Active Directory)向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的联合访问权限您可以使用任何支持 SAML 2.0 的身份管理解决方案,也可以使用我们的联合示例(AWS 控制台 SSOAPI 联合)。

功能

IAM 可以帮助创建角色和权限

AWS IAM 让您能够:

管理 IAM 用户及其访问权限 – 您可以在 IAM 中创建用户,为其分配单独的安全凭证(或称为访问密钥、密码、多重验证设备)或请求临时安全凭证,供用户访问 AWS 服务和资源。您可以管理权限,以控制用户可以执行哪些操作。

管理 IAM 角色及其权限 – 您可以在 IAM 中创建角色并管理权限,以便控制承担该角色的实体或 AWS 服务可以执行哪些操作。您也可以定义由哪个实体承担该角色。

管理联合身份用户及其权限 – 您可以启用联合身份功能,以允许公司中的现有身份(用户、组和角色)访问 AWS 管理控制台、调用 AWS API 并访问资源,而无需为各个身份创建 IAM 用户。

IAM 最佳实践

在不降低灵活性或弹性的前提下管理访问控制

AWS 可以提供多种最佳实践来帮助 IT 专业人员和开发人员。要全面了解 IAM 最佳实践,请观看 re:Invent 2015 活动的实况录像(使用本段文字右侧的视频播放器)。

用户 – 创建单独的用户。

– 利用组来管理权限。

权限 – 授予最低权限。

审核 – 打开 AWS CloudTrail。

密码 – 配置强大的密码策略。

MFA – 为特权用户启用 MFA。

角色 – 将 IAM 角色用于 Amazon EC2 实例。

共享 – 使用 IAM 角色共享访问权限。

轮换 – 定期轮换安全凭证。

条件 – 利用条件进一步限制特权访问。

– 减少或删除根的使用。

re:Invent 2015 中赖以生存的 IAM 最佳实践
52:48
赖以生存的 IAM 最佳实践

AWS IAM 入门

AWS IAM 的入门非常简单。最重要的是,它无需额外付费。 

 

免费试用
AWS 入门
了解如何在几分钟内开始使用 AWS
ha_2up-gettingstarted
AWS 免费套餐
获取 12 个月的 AWS 免费亲身实践体验
2up_FreeTier