AWS IAM介绍

最新推荐文章于 2024-06-13 16:27:15 发布
最新推荐文章于 2024-06-13 16:27:15 发布
阅读量758 收藏
点赞数
文章标签: aws 大数据 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77342543/article/details/131868068
版权

前言

AWS是世界上最大的云服务提供商,它提供了很多组件供消费者使用,其中进行访问控制的组件叫做IAM(Identity and Access Management), 用来进行身份验证和对AWS资源的访问控制。

功能

IAM的功能总结来看,主要分两种:

  • 验证身份(Authentication)

  • 授权访问(Authorization)

验证身份

验证身份的主要目的就是验证你的身份。

主要的身份实体有3种:

  • 用户(user),实体创建的用户,与用户组的关系为多对多

  • 用户组(group),根据一定规则分类的抽象集合,与用户的关系为多对多

  • 角色(role),其余AWS资源,例如EC2实例、Lambda函数等

对于用户来说,我们在控制台看到的是一个用户名,实际上在后台,它是一串资源字符串:

arn:aws:iam::account-ID-without-hyphens:user/User-name

确认方式有以下几种:

  1. AWS管理控制台,使用username/password方式进行认证

  2. AWS命令行工具,使用Access Key/Secret Key进行认证

  3. AWS产品开发包(SDK),使用Access Key/Secret Key进行认证

  4. Restful API,使用Access Key/Secret Key进行认证

设定权限

对于AWS来说,这部分是通过Policy来实现的。

Policy规定了被认证的实体可以访问什么权限,怎样访问权限的问题,主要由Statement来完成。而Statement是使用json格式来填写的。

针对不同的层级,我们将Policy分为两种:

  1. 针对已认证用户的层级,我们称为“Identified-Based Policy”

  2. 针对资源层级,我们称为“Resource-Based Policy”

Statement的写法如下:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
       ],
      "Resource": "arn:aws:s3:::productionapp"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject"
      ],
      "Resource": "arn:aws:s3:::productionapp/*"
    }
  ]
}
Identified-Based Policy

这里的Policy是针对被验证过用户的层级(此处的用户包含我上面讲的User、Group、Role)。

Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。

而Statement又包含以下内容:

  1. Effect,决定你能不能访问(Allow/Deny)

  2. Action,允许你对服务做什么动作

  3. Resource,指明这次的Statement是对哪个资源做动作

Resource-Based Policy

这里的Policy是针对资源本身的层级。

Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。

而Statement又包含以下内容:

 

  1. Effect,决定你能不能访问(Allow/Deny)

  2. Action,允许你对服务做什么动作

  3. Resource,指明这次的Statement是对哪个资源做动作,由于是针对自己的,所以要加上self

  4. Principle,将自己的资源套用给谁

Identified-Based Policy和Resource-Based Policy的区别

  1. Identified-Based Policy是Policy层级的,而Resource-Based Policy是Statement层级的,Identified-Based Policy比Resource-Based Policy高了一级

  2. Identified-Based Policy是从用户角度来看待权限管理的,而Resource-Based Policy是从资源角度来看待权限管理的。

小结

  1. IAM是用来做什么的

  2. 用户、用户组、角色的介绍

  3. Policy的介绍,Identified-Based Policy和Resource-Based Policy的介绍和对比

2301_77342543
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
AWS IAM certification
shenghuiping2001的专栏
06-04 412
今天发现awsIAM 还有放证书的地方,这个证书在console 控制台上还看不了,一定要ACL 才可以看到,下面先登入ACL 看一下:
aws iam入门之简介
蛐蛐的博客
01-16 1759
文档:What is IAM? - AWS Identity and Access Management 1.简介 AWS IAM 是一项 Web 服务,帮助安全地控制对 AWS 资源的访问。 使用 IAM 来控制谁经过身份验证(登录)和授权(拥有权限)使用资源。 首次创建 AWS 账户时,需要一个单一登录身份,该身份访问账户中的所有 AWS 服务和资源。 此身份称为 AWS 账户根用户,可通过电子邮件地址和密码登录来访问。 建议不要将 root 用户用于日常任务,即使是管理任务。
开源项目-aws-aws-lambda-go.zip
09-05
开源项目-aws-aws-lambda-go.zip,aws/aws-lambda-go
AWS IAM的简介与使用
05-03 9506
AWS IAM的简介 AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。 角色 可在账户中创建的具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,该身份具有确定其...
AWS IAM基本概念
Blue summer的博客
05-20 3294
IAM Identity and Access Management,身份和访问管理 identity/principal user、role、federated User、application
kiam:将AWS IAM与Kubernetes集成
02-03
kiam作为代理在Kubernetes集群中的每个节点上运行,并允许集群用户将IAM角色与Pod相关联。 Docker映像可从。 录制了精彩的TGIK视频,涵盖了IAM配置和Kiam安装: 有关Kiam在我们的生产集群中的起源,设计和性能的...
aws-iam-authenticator:一种使用AWS IAM凭证对Kubernetes集群进行身份验证的工具
01-30
适用于Kubernetes的AWS IAM Authenticator 使用AWS IAM凭证对Kubernetes集群进行身份验证的工具。 该工具的最初工作是由Heptio驱动的。 该项目得到了多个社区工程师的贡献,目前由Heptio和Amazon EKS OSS工程师进行...
kube-aws-iam-controller:通过密钥将不同的AWS IAM凭证分配给Kubernetes中的不同容器
01-30
适用于Kubernetes的AWS IAM控制器 这是一个Kubernetes控制器,用于通过机密将AWS IAM角色凭据分配到Pod。 它旨在解决与其他现有工具(如和相同的问题,即将不同的AWS IAM角色分配到同一集群中的不同Pod。 但是,它...
AirIAM:最低特权AWS IAM Terraformer
02-03
AirIAMAWS IAM的最低特权Terraform执行框架。 它会编译AWS IAM使用情况,并利用该数据创建最低特权的IAM Terraform,以替换现有的IAM管理方法。 AirIAM的创建是为了促进不可变的和受版本控制的IAM管理,以取代...
iam-dataset:一个整合的 AWS IAM 数据集
07-23
IAM 数据集(目前有点乱) 一系列工具,用于开发从 SDK 调用到 IAM 操作以及托管策略评估的综合映射 ( map.json )。 它目前用于支持: 映射工具托管版本: : 。map.json 语法定义${PropertyName} - PropertyName属性...
AWS服务器 应用程序开发—第九章 权限(Amazon IAM
最新发布
xianyinsuifeng的博客
06-13 165
AWS Identity and Access Management (IAM) 是一个非常重要且功能丰富的服务,它允许您安全地管理对 AWS 服务和资源的访问。IAM 提供了许多功能和工具来控制和保护您的 AWS 环境。
AWS服务器 应用程序开发—第六章 日志管理(Amazon CloudWatch)
xianyinsuifeng的博客
06-11 190
Amazon CloudWatch 是一种全面的监控和管理服务,适用于各种类型的应用程序和场景。它提供了丰富的功能和工具,用于收集、监视和管理 AWS 资源和应用程序,帮助您优化性能、提高安全性和合规性,以及降低成本。
如何选择合适的 AWS 区域对网站性能和成本?
九河云的创作之路
06-13 423
对于大多数情况,选择离目标用户群较近并且提供所需服务的低成本区域是不错的选择。可使用 AWS 成本计算器来估算不同区域的总费用。最好选择靠近目标用户的区域,可以减少网络延迟,提高响应速度。如果用户分散在世界各地,可以考虑使用 AWS 的全球加速器或内容分发网络(CDN)服务。当地法律的差异可能会影响数据的存储和处理位置。不同区域的服务定价也可能不同。确保所需要的服务在目标区域提供。如果已有资源运行在特定区域,为简化管理,新资源最好部署在相同区域。如需高可用性,最好在多个区域部署备份资源,提高容错能力。
AWS服务器 应用程序开发—第二章AWS CodeCommit、AWS Amplify
xianyinsuifeng的博客
06-11 211
您可以使用您喜欢的编辑器(如VS Code)来编写React.js代码,并使用Node.js和npm(或者yarn)来管理依赖项和构建过程。登录 AWS 控制台,导航到 CodeCommit 服务,并选择您的存储库。打开 Sourcetree,并导航到 “Repository” > “Repository Settings”。在 “URL / Path” 字段中,粘贴您在步骤3.1中获取的 HTTPS URL。在 “Remotes” 部分,点击 “Add”。确保正确选择了要推送的分支,并点击 “OK”。
AWS服务器 应用程序开发—第七章 邮件服务 发布订阅(Amazon SES)
xianyinsuifeng的博客
06-12 266
Amazon SES 和 Amazon SNS 提供了可靠且可扩展的电子邮件和消息通知解决方案,适用于各种规模的企业和应用程序,帮助提高通信效率和系统可靠性。
AWS服务器 应用程序开发—第五章 身份验证和用户管理(Amazon Cognito)
xianyinsuifeng的博客
06-11 176
移动应用程序: 开发人员可以使用Cognito来实现移动应用程序的用户身份验证、注册和登录功能,并为用户提供访问AWS资源的权限。Web 应用程序: Cognito还适用于Web应用程序,可以使用JavaScript SDK来集成Cognito用户池,实现用户身份验证和授权。IoT 设备: Cognito还提供了针对IoT设备的身份验证和授权功能,允许设备安全地与AWS服务通信。
AWS服务器 应用程序开发—第八章 计算服务AWS Lambda)
xianyinsuifeng的博客
06-12 283
AWS Lambda 允许你以事件驱动的方式运行代码,你只需编写你的函数并上传到 AWS Lambda,然后指定触发器来触发函数的执行。Lambda 函数可以与许多 AWS 服务集成,可以根据需求自动扩展,且只需按照实际使用量付费。
AWS服务器 应用程序开发—第四章 数据库(Amazon DynamoDB)
xianyinsuifeng的博客
06-11 204
二级索引(Secondary Index): 每张表可以有多个全局二级索引(Global Secondary Index,GSI)和局部二级索引(Local Secondary Index,LSI)。一级索引(Primary Index): 每张表可以有且仅有一个一级索引,可以是哈希键(Partition Key)或哈希键加范围键(Partition Key + Sort Key)的组合。成本:DynamoDB的使用可能会导致较高的成本,特别是对于大规模和高吞吐量的应用程序。表名称: Products。
AWS IAM 的JWT认证
08-26
AWS IAMIdentity and Access Management)是一种用于管理用户身份验证和访问权限的服务它并不直接支持JWT(JSON Web Token)认证,但可以与其他服务和机制结合使用以实现JWT认证。 一种常见的方法是使用AWS Cognito服务。Cognito是一种用户身份验证和授权解决方案,它支持JWT认证。您可以使用Cognito设置用户池,并在用户池中配置JWT令牌作为身份验证方法。然后,您可以使用AWS SDK或自定义代码从Cognito获取JWT令牌,并将其用于对AWS资源进行身份验证和访问控制。 另一个选项是使用AWS API Gateway。API Gateway是一种用于构建、部署和管理API的服务。它支持自定义授权和验证机制,包括JWT认证。您可以在API Gateway中配置JWT作为授权方式,并将其与其他AWS服务(如Lambda函数或EC2实例)集成,以实现基于JWT的身份验证和访问控制。 需要注意的是,AWS IAM本身没有直接支持JWT认证的功能,但您可以通过结合其他AWS服务来实现JWT认证。具体的实现细节取决于您的应用程序需求和架构设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2301_77342543

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值