IAM

IAM委托人

AWS Identity and Access Management (IAM) 是一种Web 服务,可帮助您安全地控制对AWS 资源的访问权限。使用IAM 控制哪些用户能通过身份验证(登录)并获得授权(拥有权限)来使用资源。将IAM 视为一种工具,用于集中管理启动、配置、管理和终止资源时所用的权限。您可以对访问权限进行精细控制。此控制基于资源并扩展到准确确定允许每项服务的哪些API 调用。

IAM用户

用户名密码
AK SK

联合身份用户

公司内部分很多部门使用AWS外部认证系统然后用对应的身份登录AWS 类似微信登录授权的东西

应用程序

服务访问 AWS服务例如S3 需要授权代码需要授权可以套用AK SK 也可以临时获取ticket

IAM 角色

安全凭证

IAM user用于日常操作

AK SK 使用编程的时候需要使用的

IAM user有
role you

多因子认证

IAM 用户

需要显示的授予权限

IAM 角色

用户可以戴帽子服务也可以戴帽子

临时授权干什么事情就拿对应的帽子(凭证) 会有过期时间 AK SK不要直接写到代码里面

IAM角色是可在账户中创建的一种具有特定权限的IAM 身份。IAM 角色类似于IAM 用户,因为它是一个AWS 身份,该身份拥有的权限策略可确定其在AWS 中可执行和不可执行的操作。但是,角色旨在由需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证,如密码或访问密钥。相反, 当您代入某个角色时,它会为您提供角色会话的临时安全凭证。何时使用 IAM 角色您可以使用角色向通常无法访问您的AWS 资源的用户、应用程序或服务授予访问权限。例如,您可能希望授予您AWS 账户中的用户访问以下内容的权限: • 他们通常没有的资源 • 其他账户中的资源 • 使用AWS 资源的移动应用程序但是,您不想在应用程序中嵌入AWS 密钥。密钥可能很难轮换,用户可能会提取它们。您可能还想向已在AWS 之外(例如在您的公司目录或 IdP 中)定义身份的用户授予访问权限。或者,您可能需要向第三方授予对您账户的访问权限,使其能够对您的资源执行审核操作。