进行精细的访问控制、与您的公司目录集成,并要求对高特权用户使用 MFA。
![精细访问映像 精细访问映像](http://web.archive.org./web/20180316004122im_/https://d1.awsstatic.com/security-center/IAM_Feature_380x380_Fine-Control.2f6af931e34df8df991f59320ae1f6793bdb9bde.png)
借助 IAM,您的用户能够控制对 AWS 服务 API 和特定资源的访问。您也可以使用 IAM 添加特定的条件 (例如时间),以控制用户使用 AWS 的方式、其来源 IP 地址、是否使用 SSL,或是否通过多重验证设备进行身份验证。
![管理对移动映像的访问 管理对移动映像的访问](http://web.archive.org./web/20180316004122im_/https://d1.awsstatic.com/security-center/IAM_Feature_380x380_Managed-Access-for-Mobile%20.e381013e22bf11b6601c60d05b4b0e776e1f376b.png)
![MFA 映像 MFA 映像](http://web.archive.org./web/20180316004122im_/https://d1.awsstatic.com/security-center/IAM_Feature_380x380_Multi-Factor-Authentication.e1644019b148f98305e7db03fd8c6e68c9ba034f.png)
![目录集成映像 目录集成映像](http://web.archive.org./web/20180316004122im_/https://d1.awsstatic.com/security-center/IAM_Feature_380x380_Directory-Integration.6da0a77cff489b52c1b941525f209cbdd68829fd.png)
通过 IAM,您可以使用您现有的身份验证系统 (如 Microsoft Active Directory) 向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的联合访问权限。您可以使用任何支持 SAML 2.0 的身份管理解决方案,也可以使用我们的联合示例 (AWS 控制台 SSO 或 API 联合)。
IAM 可以帮助创建角色和权限
AWS IAM 让您能够:
- 管理 IAM 用户及其访问权限 – 您可以在 IAM 中创建用户,为其分配单独的安全凭证 (或称为访问密钥、密码、多重验证设备) 或请求临时安全凭证,供用户访问 AWS 服务和资源。您可以管理权限,以控制用户可以执行哪些操作。
- 管理 IAM 角色及其权限 – 您可以在 IAM 中创建角色并管理权限,以便控制承担该角色的实体或 AWS 服务可以执行哪些操作。您也可以定义由哪个实体承担该角色。此外,您可以使用与服务关联的角色向代表您创建与管理 AWS 资源的各种 AWS 服务委派权限。
- 管理联合身份用户及其权限 – 您可以启用联合身份功能,以允许公司中的现有身份 (用户、组和角色) 访问 AWS 管理控制台、调用 AWS API 并访问资源,而无需为各个身份创建 IAM 用户。使用任何支持 SAML 2.0 的身份管理解决方案,或使用我们的联合示例 (AWS 控制台 SSO 或 API 联合)。