AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) 使您能够安全地控制用户对 Amazon AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。

如果要开始使用 IAM,或者如果您已经注册了 AWS,请转至 AWS 管理控制台,然后开始采用 IAM 最佳实践


IAM 是免费的,马上开始使用吧!

开始免费使用 AWS

创建免费账户
或登录到控制台

获得 12 个月的 AWS 免费使用套餐,同时享受 AWS 的基本支持功能,包括全年无休全天候客户服务、支持论坛等。

在 Twitter 上关注 AWSIdentity

AWS IAM 简介 (2:15)

亚马逊访问权限控制服务简介

AWS IAM 的新功能

合规性常见问题:

有关 AWS 云中 HIPAA 合规性的常见问题:第二部分 

操作说明:

如何自动标记 Amazon EC2 资源以响应 API 事件

公告:

春季 SOC 报告已发布 – Amazon WorkMail 现已推出

公告:

开始规划 2016 年 AWS re:Invent

公告:

在 IAM 控制台中引入改进的用户搜索功能

操作说明:

如何配置 EC2 实例以使其自动加入 Microsoft Active Directory 域

概要:

如果您错过:3 月和 4 月的 AWS 安全博客文章

AWS Key Management Service 现已支持删除加密密钥
AWS Key Management Service 现已支持删除加密密钥

AWS IAM 功能

AWS IAM 让您能够:

管理 IAM 用户及其访问权限 – 您可以在 IAM 中创建用户,为他们分配安全证书(或者叫访问密钥、密码、多重验证设备),或请求临时安全证书,供他们访问 AWS 服务和资源。您可以管理权限以控制用户可执行的操作。

管理 IAM 角色及其权限 – 您可以在 IAM 中创建角色和管理权限,控制承担该角色的实体或 AWS 服务可执行的操作。您也可以定义允许承担该角色的实体。

管理联合用户及其访问权限 – 您可以启用联合身份功能来允许企业中的现有实体(用户、组和角色)访问 AWS 管理控制台、调用 AWS API 和访问资源,而不必为各个身份创建 IAM 用户。

AWS IAM 使用案例

使用精细的访问控制、与您的企业目录集成、要求对高级授权用户使用 MFA。

对 AWS 资源进行精细访问控制

IAM 使您的用户能够对 AWS 服务 API 和特定资源的访问进行管理。IAM 也可以让您添加特定的条件(例如时间),以控制用户对 AWS 的使用方式、其来源 IP 地址、是否使用 SSL,或者是否通过多重验证设备进行身份验证。

通过 Web 身份验证提供商管理移动应用程序的访问控制

您可以通过请求临时安全证书(这些证书仅可授予对特定 AWS 资源在可配置时限内的访问权限),使您的移动版和基于浏览器的应用程序安全地访问 AWS 资源。

与公司目录集成

IAM 可用于使用您的现有身份系统(如 Microsoft Active Directory)向员工和应用程序授予对 AWS 管理控制台和 AWS 服务 API 的联合访问权限。您可以使用任何支持 SAML 2.0 的身份管理解决方案,或者随意使用我们的其中一个联合样本(AWS 控制台 SSOAPI 联合)。

适用于高特权用户的多重验证

使用一项加强用户名和密码凭证的安全功能(无需提供额外费用)AWS MFA 保护您的 AWS 环境。MFA 要求用户通过提供有效的 MFA 代码证明对硬件 MFA 令牌或启用 MFA 的移动设备的物理占有。

IAM 最佳实践

AWS 拥有丰富多样的最佳实践,可以帮助 IT 专业人士和开发人员管理访问权限控制,同时不损失灵活性或恢复力。要全面了解 IAM 最佳实践,请观看 re:Invent 2015 活动的实况录像(在本段文字右侧的视频播放器中)。

用户 – 创建单独的用户。

群组 – 利用群组管理权限。

权限 – 授予最低权限。

审计 – 打开 AWS CloudTrail。

密码 – 配置强大的密码策略。

MFA – 为特权用户启用 MFA。

角色 – 使用适用于 Amazon EC2 实例的 IAM 角色。

共享 – 使用 IAM 角色共享访问。

交替 – 定期交替安全证书。

条件 – 利用条件进一步限制特权访问。

– 减少或删除根的使用。

前 10 大 AWS 访问权限控制服务最佳实践
52:48
赖以生存的 IAM 最佳实践