AWS 云从业者-核心服务

核心服务

---

身份认证管理-IAM

• 什么是IAM（identity and Access Management）?

IAM是一种WEB服务，可安全的控制用户，控制哪些人可以用哪种方式访问AWS哪些资源。

也可以使用IAM来调用用户的IP进行开发，IAM和AWS的服务集成在一起使用的，可以提供身份认证完成授权来达到权限控制的目的。

• 功能与特点（function&Feature）

1.账户内共享访问权限：授予其他人管理和使用你的AWS账户资源权限而无需共享密码或者访问密钥。

2.细化权限：可以根据需要为每个用户的职责授予所需的不同权限。

3.对在EC2上运行的应用程序的AWS资源的安全访问：IAM可以帮助提供再EC2实例上运行的应用程序访问其他AWS资源所需的临时凭证。

4.多重验证(MFA multi-factor authentication)

可以向你的账户和各个用户添加的双重身份验证以实现更高安全性，借助MFA，你或者你的用户不仅必须提供使用账户密码或者访问密钥，还需要来自经过特殊配置的设别的代码。

5.联合身份

IAM允许用户通过提供临时凭证，（例如自己公司的旺火过着Google等身份验证）访问AWS资源，而 无需用户拥有AWS账户。

6.安全的身份信息：cloudtrail 可以用于接受日志记录，其中包含有关账户中提出资源请求的人员信息。

7.PCI DSS合规性：IAM支持由商家或者服务商处理，存储和传输信用卡数据，而且已经验证符合支付卡行业(PCI)数据安全标准(DSS)

8.与AWS服务集成：IAM与大部分的AWS服务集成，，以提供为其他的AWS服务提供身份验证与授权服务。

9.最终一致性：与许多其他的AWS服务一样，IAM 通过在亚马逊全球数据中心内的多个服务器之间复制数据，最终保持一致并实现高可用性。对IAM所做的更改最终会保持一致，因此需要一些时间来反映。

10.免费试用：IAM免费提供，比如你咋其他资源上使用IAM控制权限，所收取的费用只是收取其他资源的费用。

11.安全令牌服务(security token service):IAM提供STS，这是AWS账户的附带功能，免费提供，AWS进队使用STS临时安全凭证访问的其他AWS服务收费。

• 基本概念（basic concept）

用户：IAM用户时在aws中创建的实体，使用用户名和密码可以控制登录aws控制台。

组：是IAM用户的集合，可以给用户加入到组，并为组指定权限，从而使其更易于管理。

角色：IAM角色类似于用户，但不是用户，因为不能用来登录。一