【AWS入門】AWS身份驗證和訪問管理（IAM）

[AWS Essentials] AWS Identity and Access Management (IAM)

By Jackson@ML

眾所周知，AWS亞馬遜云科技位列全球云計算服務第一位，并且持續為廣大客戶提供安全、穩定的各類云產品和服務。

1. 訪問AWS的身份基礎

那么，要想使用AWS，首先就需要創建賬戶；只有通過賬戶登錄，才能坐享在線提供的超過200種的AWS產品和服務。當然，這一切都無需部署物理服務器。

拿來就用，是硬道理。

如果沒有賬戶，用戶需要按照AWS提供的信息，填寫郵箱、密碼等登錄信息，以及姓名、地址和電話號碼等聯系人信息。同時，無論是否付費，需要關聯信用卡支付信息后，即可獲得12位長的數字編號，也就是AWS賬號。

完成注冊后，就可以用所填寫的郵件地址和密碼登錄AWS控制臺，并可開始使用EC2等各種AWS服務。

不過請注意，此時登錄的郵箱成為Root user(根用戶)；該用它登錄，當然可以進行全部操作。

圖1 使用Root user（根用戶）登錄Web頁面

2. 安全賬戶訪問AWS

由于Root user(根用戶)具備所有權限，無法得到控制，萬一有了誤操作或者密碼泄露，后果不堪設想。

因此，AWS賬戶策略是，日常操作不使用根用戶，而是在賬戶內創建其他用戶，用該用戶登錄并進行操作。一個賬戶可以創建多個用戶。

圖1 使用IAM賬戶登錄Web頁面

3. 什么是IAM？

1） IAM概念

AWS Identity and Access Management (IAM) ，即AWS身份和訪問管理，這是一種 Web 服務，可以幫助用戶安全地控制對 AWS 資源的訪問。借助 IAM，可以管理控制用戶，賦予用戶可訪問哪些 AWS 資源的權限。

例如，可以使用 IAM 來控制誰通過了身份驗證（準許登錄）并獲得授權（具有相應權限）來使用資源。IAM 提供了控制AWS 賬戶身份驗證和授權使用所需的基礎設施。

2） 訪問控制策略

訪問控制策略來自AWS用戶管理和AWS身份和訪問管理(AWS Identity an Access Management,簡稱AWS IAM)服務。

要完成IAM，首先需在IAM服務中創建組（即IAM組）和用戶（即IAM用戶），然后，對每個IAM組和IAM用戶設定是否允許訪問AWS的各種資源權限（IAM策略）。

IAM組/用戶/策略如下圖。

圖3 IAM分組用戶訪問控制

3） 身份

當用戶創建 AWS 賬戶時，最初使用的是一個對賬戶中所有 AWS 服務和資源擁有完全訪問權限的登錄身份。此身份稱為 AWS 賬戶Root user(根用戶)，使用該用戶創建賬戶時所用的電子郵件地址和密碼登錄，即可獲得該身份。

！強烈建議不要使用根用戶執行日常任務。保護好根用戶憑證，并使用這些憑證來執行僅根用戶可以執行的任務。

除了根用戶之外，使用 IAM 還可以設置其他身份，例如管理員、分析師和開發人員，并且可以授予其訪問成功完成其任務所需資源的訪問權限。

4） 訪問管理

在 IAM 中設置用戶后，他們將使用其登錄憑證向 AWS 進行身份驗證。通過匹配登錄憑證與受 AWS 賬戶信任的主體（IAM 用戶、聯合用戶、IAM 角色或應用程序）來進行身份驗證。

接下來，請求授予主體對資源的訪問權限。如果用戶已被授予資源的相應資源，則根據授權請求授予訪問權限。
例如，當用戶首次登錄控制臺并進入控制臺主頁時，并未訪問特定服務。

當選擇一項服務時，授權請求將發送至該服務，并查看該用戶的身份是否在授權用戶列表中，正在執行哪些策略來控制授予的訪問級別，以及任何其他可能生效的策略。

授權請求可以由AWS 賬戶內的主體提出，也可以由其信任的其他 AWS 賬戶 提出。

獲得授權后，主體可以對用戶的AWS 賬戶 里的資源采取行動或執行操作。例如，主體可以啟動新的 Amazon Elastic Compute Cloud （Amazon EC2）實例、修改 IAM 群組成員資格或刪除 Amazon Simple Storage Service （S3）存儲桶。

4. IAM服務可用性

IAM 和很多其他 AWS 服務一樣，具備最終一致性。IAM 通過復制 Amazon 在全球的數據中心所屬的多個服務器數據，來實現數據的高可用性。

如果成功請求更改某些數據，則更改會提交并安全存儲。不過，更改必須跨 IAM 復制，這需要一定的時間。此類更改包括創建或更新用戶、組、角色或策略。

在應用程序的關鍵、高可用性代碼路徑中，AWS不建議進行此類 IAM 更改。而應在不常運行的、單獨的初始化或設置例程中進行 IAM 更改。
另外，在生產工作流程依賴這些更改之前，請務必驗證更改已傳播。

關于AWS身份與訪問管理，還有很多很多實踐和相關學習內容。

---

AWS技術好文陸續推出，敬請關注、收藏和點贊👍。

您的認可，我的動力！

相關閱讀：

1. 【AWS入門】Amazon SageMaker簡介
2. 【AWS入門】Amazon Bedrock簡介
3. 【AWS入門】Amazon Q Developer簡介
4. 【AWS入門】AWS Lambda應用簡介
5. 【AWS入門】Amazon Nova簡介
6. 【AWS入門】Amazon S3簡介
7. 【AWS入門】Amazon EC2簡介
8. 【AWS入門】AWS云計算簡介
9. 【AWS入門】創建并使用AWS Builder ID
10. 【AWS入門】2025 AWS亞馬遜云科技賬戶注冊指南