问:IAM 用户可以拥有哪些安全证书?
IAM 用户可以将 AWS 支持的凭证随意组合使用,例如 AWS 访问密钥、X.509 认证、SSH 密钥、Web 应用程序登录密码或MFA设备。这样一来,用户就可以通过他们认为方便的任何方式与 AWS 进行交互。
问:可否将 IAM 角色与 Auto Scaling 组联合?
可以。您可以将 IAM 角色作为额外参数添加到 Auto Scaling 启动配置中,再使用该启动配置创建 AutoScaling 组。与 IAM 角色关联的 Auto Scaling 组中启动的所有 EC2 实例都会以该角色作为输入参数进行启动。
问:可否将多个 IAM 角色与一个 EC2 实例关联?
否。目前一个 EC2 实例只能关联一个 IAM 角色。每个实例只能有一个角色的这一限制并不会增加。
问:我是否可以授予权限以访问归其他 AWS 账户所有的 AWS 资源?
可以。通过使用 IAM 角色,IAM 用户和关联用户可以通过 AWS 管理控制台、AWS CLI 或 API 访问其他 AWS 账户中的资源。
托管策略– 基于身份的独立策略,可附加到您的 AWS 账户中的多个用户、组和角色。有两种托管策略:
AWS 托管策略– 由 AWS 创建和管理的托管策略。
客户托管策略– 您在 AWS 账户中创建和管理的托管策略。与 AWS 托管策略相比,客户托管策略可以更精确地控制策略。
内联策略– 直接添加到单个用户、组或角色的策略。内联策略在策略和身份之间保持严格的一对一关系。当您删除身份时,内联策略将被删除。
基于身份的策略– 将托管策略和内联策略附加到 IAM 身份(用户、用户所属组或角色)。基于身份的策略向身份授予权限
基于资源的策略– 将内联策略附加到资源。基于资源的策略的最常见示例是 Amazon S3 存储桶策略和 IAM 角色信任策略。基于资源的策略向在策略中指定的委托人授予权限。委托人可以与资源位于同一个账户中,也可以位于其他账户中。
JSON 策略文档结构
如下图所示,JSON 策略文档包含以下元素
文档顶部的可选策略范围信息
一个或多个单独语句
语句中的信息均含在一系列的元素内。
Version– 指定要使用的策略语言版本。作为最佳实践,请使用最新的2012-10-17版本。
Statement– 将该主要策略元素作为以下元素的容器。可以在一个策略中包含多个语句。
Sid(可选)– 包括可选的语句 ID 以区分不同的语句。
Effect– 使用Allow或Deny指示策略是允许还是拒绝访问。
Principal(仅在某些情况下需要)– 如果创建基于资源的策略,您必须指示要允许或拒绝访问的账户、用户、角色或联合身份用户。如果要创建 IAM 权限策略以附加到用户或角色,则不能包含该元素。委托人暗示为该用户或角色。
Action– 包括策略允许或拒绝的操作列表。
Resource(仅在某些情况下需要)– 如果创建 IAM 权限策略,您必须指定操作适用的资源列表。如果创建基于资源的策略,则该元素是可选的。如果不包含该元素,则该操作适用的资源是策略附加到的资源。
Condition(可选)– 指定策略在哪些情况下授予权限。
https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/access_policies.html