11、AWS IAM安全管理与实践指南

AWS IAM安全管理与实践指南

1. IAM基础概念

在AWS（Amazon Web Services）中，身份与访问管理（IAM）是保障账户安全和资源合理分配的重要工具。以下是一些关键的IAM概念：
- 用户（User） ：IAM子账户，用于让团队成员精确访问账户资源。
- 组（Group） ：具有访问策略的元素，可将单个用户与之关联。
- 角色（Role） ：一种IAM身份，用户可以采用它来获得其访问权限。
- 策略（Policy） ：JSON格式的规则，用于定义元素将获得的访问权限。
- 访问密钥（Access Keys） ：由访问密钥ID和秘密访问密钥组成的一对，用于以编程方式对AWS资源进行身份验证。

2. 组（Groups）

组类似于用户，因为可以为其分配特定的访问策略，这些策略定义了其成员可以访问的资源。但组没有自己的访问凭证，加入组的用户将使用自己的凭证来访问组策略允许的资源。通过更新组策略，组内所有成员将自动继承这些更改。例如，向系统添加新开发人员时，只需创建一个新用户账户并将其添加到现有的开发人员组中。

3. 角色（Roles）

通过管理用户和组可以定义单个团队成员的访问权限，但也可以通过角色将权限和权利分配给像EC2实例和应用程序这样的对象。角色介于用户和策略之间，它有特定的限制和权限，但不属于任何特定用户，其权限也不能通过正常登录方式获取。经过正确身份验证的对象可以临时切