# 官方提供@yunTaoScripts Identity and Access Management (IAM) 🔥🔥

一家企业的IT系统可以外包,正确的时间正确的市场。为什么叫云: 描述互联网资源用云的图像。

# 创建预算

# 账户分类

# root account

  • 第一个账户
  • 不需要policy
  • 可访问所有资源
  • 建议删除root accout access key 和 secret access key(命令行登陆aws)

# user account

  • admin account
  • other account

# 四个重要概念

  • user
  • group
  • policy
    • jason format 策略 role
    • 权限的集合,将其分配给资源对象。

# policy

  • 给user 或者 group提供权限的最小单位。

  • jason format

  • allow 或者 deny

  • 包含:

    • effect: allow/deny
    • action: list of action
    • resource: action 主体
    • conditon: 实行条件(可选)

# role

可授权的对象资源:

  • aws service
  • 另一个aws account
    • 当前account 指定哪个客户account可以访问
    • 客户account 指定哪个user 有 assum role 权限
  • web Identity (通过第三方系统,用户认证)
    • (Facebook or Google)
  • SAML(两个独立的系统或者应用可以分享用户权限配置)
    • (登陆windows后,其他应用不需要再登陆)

# other

# MFA

# root account 和 admin account

  • 新用户在没有分配policy 或者group 的话,是没有任何权限的。
  • 新用户要选择前台登陆或者后台登陆。
  • access key和 secret access key 用于命令行登陆。只能创建时查看,丢失需要重新创建。
  • IAM 是 跨region 和 az。

# advice

  • 删除root access key
  • 激活MFA
  • 使用 个人 IAM 用户
  • 使用 group 分配 policy, 不要直接把policy 赋给user
  • 应用 IAM passwd policy
最后修改时间: 12/27/2022, 12:00:04 PM