【AWS入门】AWS身份验证和访问管理（IAM）

[AWS Essentials] AWS Identity and Access Management (IAM)

By Jackson@ML

众所周知，AWS亚马逊云科技位列全球云计算服务第一位，并且持续为广大客户提供安全、稳定的各类云产品和服务。

1. 访问AWS的身份基础

那么，要想使用AWS，首先就需要创建账户；只有通过账户登录，才能坐享在线提供的超过200种的AWS产品和服务。当然，这一切都无需部署物理服务器。

拿来就用，是硬道理。

如果没有账户，用户需要按照AWS提供的信息，填写邮箱、密码等登录信息，以及姓名、地址和电话号码等联系人信息。同时，无论是否付费，需要关联信用卡支付信息后，即可获得12位长的数字编号，也就是AWS账号。

完成注册后，就可以用所填写的邮件地址和密码登录AWS控制台，并可开始使用EC2等各种AWS服务。

不过请注意，此时登录的邮箱成为Root user(根用户)；该用它登录，当然可以进行全部操作。

图1 使用Root user（根用户）登录Web页面

2. 安全账户访问AWS

由于Root user(根用户)具备所有权限，无法得到控制，万一有了误操作或者密码泄露，后果不堪设想。

因此，AWS账户策略是，日常操作不使用根用户，而是在账户内创建其他用户，用该用户登录并进行操作。一个账户可以创建多个用户。

图1 使用IAM账户登录Web页面

3. 什么是IAM？

1） IAM概念

AWS Identity and Access Management (IAM) ，即AWS身份和访问管理，这是一种 Web 服务，可以帮助用户安全地控制对 AWS 资源的访问。借助 IAM，可以管理控制用户，赋予用户可访问哪些 AWS 资源的权限。

例如，可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。IAM 提供了控制AWS 账户身份验证和授权使用所需的基础设施。

2） 访问控制策略

访问控制策略来自AWS用户管理和AWS身份和访问管理(AWS Identity an Access Management,简称AWS IAM)服务。

要完成IAM，首先需在IAM服务中创建组（即IAM组）和用户（即IAM用户），然后，对每个IAM组和IAM用户设定是否允许访问AWS的各种资源权限（IAM策略）。

IAM组/用户/策略如下图。

图3 IAM分组用户访问控制

3） 身份

当用户创建 AWS 账户时，最初使用的是一个对账户中所有 AWS 服务和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户Root user(根用户)，使用该用户创建账户时所用的电子邮件地址和密码登录，即可获得该身份。

！强烈建议不要使用根用户执行日常任务。保护好根用户凭证，并使用这些凭证来执行仅根用户可以执行的任务。

除了根用户之外，使用 IAM 还可以设置其他身份，例如管理员、分析师和开发人员，并且可以授予其访问成功完成其任务所需资源的访问权限。

4） 访问管理

在 IAM 中设置用户后，他们将使用其登录凭证向 AWS 进行身份验证。通过匹配登录凭证与受 AWS 账户信任的主体（IAM 用户、联合用户、IAM 角色或应用程序）来进行身份验证。

接下来，请求授予主体对资源的访问权限。如果用户已被授予资源的相应资源，则根据授权请求授予访问权限。
例如，当用户首次登录控制台并进入控制台主页时，并未访问特定服务。

当选择一项服务时，授权请求将发送至该服务，并查看该用户的身份是否在授权用户列表中，正在执行哪些策略来控制授予的访问级别，以及任何其他可能生效的策略。

授权请求可以由AWS 账户内的主体提出，也可以由其信任的其他 AWS 账户 提出。

获得授权后，主体可以对用户的AWS 账户 里的资源采取行动或执行操作。例如，主体可以启动新的 Amazon Elastic Compute Cloud （Amazon EC2）实例、修改 IAM 群组成员资格或删除 Amazon Simple Storage Service （S3）存储桶。

4. IAM服务可用性

IAM 和很多其他 AWS 服务一样，具备最终一致性。IAM 通过复制 Amazon 在全球的数据中心所属的多个服务器数据，来实现数据的高可用性。

如果成功请求更改某些数据，则更改会提交并安全存储。不过，更改必须跨 IAM 复制，这需要一定的时间。此类更改包括创建或更新用户、组、角色或策略。

在应用程序的关键、高可用性代码路径中，AWS不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。
另外，在生产工作流程依赖这些更改之前，请务必验证更改已传播。

关于AWS身份与访问管理，还有很多很多实践和相关学习内容。

---

AWS技术好文陆续推出，敬请关注、收藏和点赞👍。

您的认可，我的动力！

相关阅读：

1. 【AWS入门】Amazon SageMaker简介
2. 【AWS入门】Amazon Bedrock简介
3. 【AWS入门】Amazon Q Developer简介
4. 【AWS入门】AWS Lambda应用简介
5. 【AWS入门】Amazon Nova简介
6. 【AWS入门】Amazon S3简介
7. 【AWS入门】Amazon EC2简介
8. 【AWS入门】AWS云计算简介
9. 【AWS入门】创建并使用AWS Builder ID
10. 【AWS入门】2025 AWS亚马逊云科技账户注册指南