IAM

AWS Identity and Access Management (IAM) 是一種 Web 服務，可以幫助您安全地控制對 AWS 資源的訪問。您可以使用 IAM 控制對哪個用户進行身份驗證 (登錄) 和授權 (具有權限) 以使用資源。

當您首次創建 AWS 賬户時，最初使用的是一個對賬户中所有 AWS 服務和資源有完全訪問權限的單點登錄身份。此身份稱為 AWS 賬户根用户，可使用您創建賬户時所用的電子郵件地址和密碼登錄來獲得此身份。強烈建議您不使用 根用户 執行日常任務，即使是管理任務。請遵守僅將 根用户 用於創建首個 IAM 用户的最佳實踐。然後請妥善保存 根用户 憑證，僅用它們執行少數賬户和服務管理任務。

IAM是一套全面的建立和維護數字身份，並提供有效地、安全地IT資源訪問的業務流程和管理手段，從而實現組織信息資產統一的身份認證、授權和身份數據集中管理與審計。

身份和訪問管理是一套業務處理流程，也是一個用於創建和維護和使用數字身份的支持基礎結構。

通俗地講：IAM是讓合適的自然人在恰當的時間通過統一的方式訪問授權的信息資產，提供集中式的數字身份管理、認證、授權、審計的模式和平台。

IAM 為您提供以下功能：

您可以向其他人員授予管理和使用您 AWS 賬户中的資源的權限，而不必共享您的密碼或訪問密鑰。

您可以針對不同資源向不同人員授予不同權限。例如，您可以允許某些用户完全訪問 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服務。對於另一些用户，您可以允許僅針對某些 S3 存儲桶的只讀訪問權限，或是僅管理某些 EC2 實例的權限，或是訪問您的賬單信息但無法訪問任何其他內容的權限 ^[1]  。

您可以使用 IAM 功能安全地為 EC2 實例上運行的應用程序提供憑證。這些憑證為您的應用程序提供權限以訪問其他 AWS 資源。示例包括 S3 存儲桶和 DynamoDB 表。

您可以向您的賬户和各個用户添加雙重身份驗證以實現更高安全性。藉助 MFA，您或您的用户不僅必須提供使用賬户所需的密碼或訪問密鑰，還必須提供來自經過特殊配置的設備的代碼。

您可以允許已在其他位置（例如，在您的企業網絡中或通過 Internet 身份提供商）獲得密碼的用户獲取對您 AWS 賬户的臨時訪問權限。

如果您使用AWS CloudTrail，則會收到日誌記錄，其中包括有關對您賬户中的資源進行請求的人員的信息。這些信息基於 IAM 身份。

IAM 支持由商家或服務提供商處理、存儲和傳輸信用卡數據，而且已經驗證符合支付卡行業 (PCI) 數據安全標準 (DSS)。有關 PCI DSS 的更多信息，包括如何請求 AWS PCI Compliance Package 的副本，請參閲PCI DSS 第 1 級。

有關使用 IAM 的 AWS 服務的列表，請參閲使用 IAM 的 AWS 服務。

與許多其他 AWS 服務一樣，IAM 具有最終一致性。IAM 通過在 Amazon 的全球數據中心中的多個服務器之間複製數據來實現高可用性。如果成功請求更改某些數據，則更改會提交併安全存儲。不過，更改必須跨 IAM 複製，這需要時間。此類更改包括創建或更新用户、組、角色或策略。在應用程序的關鍵、高可用性代碼路徑中，我們不建議進行此類 IAM 更改。而應在不常運行的、單獨的初始化或設置例程中進行 IAM 更改。另外，在生產工作流程依賴這些更改之前，請務必驗證更改已傳播。有關更多信息，請參閲我所做的更改並非始終立即可見。

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是為您的 AWS 賬户提供的功能，不另行收費。僅當您使用 IAM 用户或 AWS STS 臨時安全憑證訪問其他 AWS 服務時，才會向您收取費用。有關其他 AWS 產品的定價信息，請參閲Amazon Web Services 定價頁面。

通過對跨多種不同Web 應用程序、門户和安全域的無縫訪問允許單點登錄，還支持對企業應用程序（例如，SAP、Siebel、PeopleSoft 以及Oracle應用程序）的無縫訪問。

提供了統一的認證策略，確保Internet 和局域網應用程序中的安全級別都正確。這確保高安全級別的應用程序可受到更強的認證方法保護，而低安全級別應用程序可以只用較簡單的用户名/密碼方法保護。為許多認證系統（包括密碼、令牌、X.509 證書、智能卡、定製表單和生物識別）及多種認證方法組合提供了訪問管理支持。

將一個企業Web 應用程序中的客户、合作伙伴和員工的訪問管理都集起來。因此，不需要冗餘、特定於應用程序的安全邏輯。可以按用户屬性、角色、組和動態組對訪問權進行限制，並按位置和時間確定訪問權。授權可以在文件、頁面或對象級別上進行。此外，受控制的“模擬”（在此情形中，諸如客户服務代表的某個授權用户，可以訪問其他用户可以訪問的資源）也由策略定義。

從不同本地或外部源（包括Web服務和數據庫）實時觸發評估數據的安全策略，從而確定進行訪問授權或拒絕訪問。通過環境相關的評估，可獲得更加細化的授權。例如，限制滿足特定條件（最小帳户餘額）的客户對特定應用程序（特定銀行服務）的訪問權。授權策略還可以與外部系統（例如，基於風險的安全系統）結合應用。

提供了企業級系統管理工具，使安全人員可以更有效地監控、管理和維護多種環境（包括管理開發、測試和生產環境）。

IAM原為北京普安思科技有限公司（PAS）的一款統一賬號管理與訪問控制系統，後經中國移動交流，在原有3A（認證、授權、審計）安全模型上加入了賬號管理，形成了4A解決方案。國內少數幾家有實力實施4A解決方案（IAM）的廠家為神州泰嶽、亞信、普安思科技、億陽信通 ^[2]  。