# 官方提供@yunTaoScripts Identity and Access Management (IAM) 🔥🔥
一家企业的IT系统可以外包,正确的时间正确的市场。为什么叫云: 描述互联网资源用云的图像。
# 创建预算
# 账户分类
# root account
- 第一个账户
- 不需要policy
- 可访问所有资源
- 建议删除root accout access key 和 secret access key(命令行登陆aws)
# user account
- admin account
- other account
# 四个重要概念
- user
- group
- policy
- jason format 策略 role
- 权限的集合,将其分配给资源对象。
# policy
给user 或者 group提供权限的最小单位。
jason format
allow 或者 deny
包含:
- effect: allow/deny
- action: list of action
- resource: action 主体
- conditon: 实行条件(可选)
# role
可授权的对象资源:
- aws service
- 另一个aws account
- 当前account 指定哪个客户account可以访问
- 客户account 指定哪个user 有 assum role 权限
- web Identity (通过第三方系统,用户认证)
- (Facebook or Google)
- SAML(两个独立的系统或者应用可以分享用户权限配置)
- (登陆windows后,其他应用不需要再登陆)
# other
# MFA
# root account 和 admin account
- 新用户在没有分配policy 或者group 的话,是没有任何权限的。
- 新用户要选择前台登陆或者后台登陆。
- access key和 secret access key 用于命令行登陆。只能创建时查看,丢失需要重新创建。
- IAM 是 跨region 和 az。
# advice
- 删除root access key
- 激活MFA
- 使用 个人 IAM 用户
- 使用 group 分配 policy, 不要直接把policy 赋给user
- 应用 IAM passwd policy
← 快速链接