AWS Identity and Access Management (IAM) 功能

Page Topics

主要特色

主要特色

許可可讓您指定和控制 AWS 服務和資源的存取權。若要授予 IAM 角色許可,可以連接政策以指定存取類型、可執行的動作,以及可對其執行動作的資源。

使用 IAM 政策,您即授予特定 AWS 服務 API 和資源的存取權。您也可以定義授予存取權的特定條件,例如授予從特定 AWS 組織存取身分的權限或透過特定 AWS 服務存取。 

進一步了解更精細的存取控制權

藉由 IAM 角色,您委派使用者或 AWS 服務存取權,以在您的 AWS 帳戶內操作。來自您的身份提供商或 AWS 服務的使用者可以擔任角色,以取得臨時安全憑證,這些憑證可用於在 IAM 角色的帳戶中發出 AWS 請求。因此,IAM 角色為需要在您的 AWS 帳戶中執行動作的使用者、工作負載和 AWS 服務提供一種依賴短期憑證的方法。 

進一步了解透過使用 IAM 角色委派存取權

使用 IAM Roles Anywhere,讓在 AWS 以外 (例如內部部署、混合式和多雲端環境) 執行的工作負載能使用您的註冊憑證授權單位簽發的 X.509 數位憑證存取 AWS 資源。藉助 IAM Roles Anywhere,您可以取得臨時 AWS 憑證,並使用您為 AWS 工作負載設定的相同 IAM 角色和策略來存取 AWS 資源。

進一步了解 IAM Roles Anywhere

實現最低權限是一個連續的週期,隨著您需求的發展授予正確的精密許可。 IAM Access Analyzer 可協助您在設定、驗證和精簡許可時,精簡許可管理。

進一步了解 IAM Access Analyzer

藉由 AWS Organizations,您可以使用服務控制政策 (SCP)資源控制政策 (RCP) 建立組織帳戶中所有主體和資源都遵循的許可防護機制。您可以使用 SCP 集中控制各帳戶中主體 (IAM 角色和使用者) 的存取權。您可以使用 RCP 集中控制整個組織中 AWS 資源的存取權。您可以選擇僅啟用 SCP 或 RCP,或同時使用兩種政策類型來協助實現安全目標。

進一步了解許可防護機制

基於屬性的存取控制 (ABAC) 是一種授權策略,可用於根據使用者屬性 (例如部門、任務角色和團隊名稱) 建立更精細的許可。使用 ABAC,您可以減少在 AWS 帳戶中建立更精細的控制所需的不同許可的數量。

進一步了解 ABAC