AWS IAM基本概念

已于 2022-05-20 22:12:28 修改
阅读量3.3k 收藏 5
点赞数
分类专栏: AWS 文章标签: AWS IAM AWS Identity AWS policy
于 2022-05-20 22:11:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/124831965
版权

1 关于IAM

IAM全称是Identity and Access Management,身份和访问管理,是一套用于登录验证和管理的框架,
可用于单点登录、多因素身份验证、基于策略的集中式授权和审计、动态授权等场景。

从管理对象来看,

  • 一个是管理identity,验证用户的合法性,即Authentication
  • 另一个是管理资源的access,也就是资源授权,即Authorization

2 AWS identity/principal

在AWS上,identity和principal是等价的,都是指代可以对资源进行操作的发起方,主要有:

  • user
  • role
  • federated user
  • application

2.1 user和role的区别

  • user可以在console上登录,有永久的认证信息,比如用户名和密码,但是role是无法登录的,也没有认证凭证
  • user一般是给某个人使用,而token可以给任何有需要的人使用,当然也可以给user使用
  • role通过临时生成的密钥来访问资源,默认1h,最长12h,在role的传导场景,最长是1h
  • user只能存在于某个账号下,role可以跨账号, 但是user可以通过switch到其他role来达到跨账号的目的

2.2 federated user

当用户已经有了一个用户身份,比如域账号或者Okta,可以不用单独为这个用户在AWS中创建user和配置policy,我们可以直接通过用户的域账号身份去访问AWS的资源。但这个需要有IDP的参与,也就是Identity provider。这样不仅省去对新账号的管理,也减少创建账号的时间消耗。

以域账号为例,此时IDP即为ADFS,用户通过域账号认证身份后,ADFS会按照SAML 2.0规范生成身份验证信息,发给Server Provider(服务提供商),从而实现联合验证,此时该用户就是一个federated user

3 AWS资源访问

对AWS资源操作的请求包含三部分,

  • 主体(Identity)
  • 操作(Action)
  • 资源(Resource)

AWS通过策略(Policy)来定义主体权限(Permissions),最基本的策略有两大类,

  • Identity-based policy,它关联到特定的User/Role/Group上,指定这些主体能对哪些资源进行怎样的操作
  • Resource-based policy,它关联到具体的AWS资源上,指定哪些主体可以对这个资源做怎样的操作
Blue summer
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
complete-aws-iam-reference:完整的AWS IAM参考
01-30
IAM基础概念** IAM 的核心功能是身份验证和授权,它可以帮助您管理用户、组、角色以及与这些实体相关的访问策略。通过IAM,您可以创建和管理AWS账户内的用户,为他们分配特定权限,确保他们只能访问被授予的AWS服务...
AWS创建IAM用户,以及通过IAM用户登录
weighless的博客
03-28 785
更侧重于简化用户跨多个AWS账户和应用程序的访问管理,提供单一登录(SSO)体验,适合需要集中身份管理和简化用户登录过程的组织。IAM则更专注于提供针对单个AWS账户内资源的访问控制,包括用户、角色、权限策略等的管理,适合需要对AWS资源进行精细访问控制的场景。也就是IAM Identity Center是可以通过我自己的账户登录,然后访问主账户的资源,而IAM是主账户给的账户密码登录根据我们的实际情况,选择IAM比较方便。
[ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号
热门推荐
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
07-03 1万+
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助你安全地控制对 AWS 资源的访问。借助 IAM,你可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。IAMIdentity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。IAM 主要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。
AWS IAM 基本概念
最新发布
wumingxiaoyao的博客
07-27 1164
介绍 AWS IAM 基本概念,在 AWS 环境中,ADFS 可以用来实现身份联合,允许用户使用他们在企业的 Active Directory 中的凭据来登录 AWS 管理控制台或进行程序访问。这样,企业可以保持对用户身份的集中管理,同时允许用户访问 AWS 资源而无需为他们创建单独的 AWS IAM 用户。
AWS攻略——一文看懂AWS IAM设计和使用
方亮的专栏
09-14 3577
IAM Github CodeCommit Role User Policy
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4161
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
AWS入门】IAM基本应用-2023/3/4
weixin_42161670的博客
03-11 639
IAM(Identity Access Management)是身份和访问管理服务,要访问AWS服务和资源,就要使用IAM进行身份验证和授权。当我们通过控制台,CLI,或API访问AWS服务时,都需要通过IAM服务进行身份验证。所有的委托人都必须进行身份验证才能发送请求,执行操作(少数例外)。那什么是委托人呢?委托人是对AWS资源和服务执行动作或操作的用户,或者是应用程序的代称。AWS用户,角色,联合身份用户,应用,这些都可以是委托人。
什么是 AWS IAM?如何使用 IAM 数据库身份验证连接到 Amazon RDS(下)
励志做最业余的专业博主,控件产品可以私我~
12-05 479
在本文中,我们将探讨什么是 AWS Identity and Access Management (IAM) 以及它如何增强安全性
iam-ug.pdf
09-10
IAM 视频介绍提供了直观的学习方式,帮助用户更好地理解IAM基本概念和工作流程。通过视频,用户可以快速掌握如何创建和管理IAM实体,如用户、组和策略,以及如何实现细粒度的访问控制。 IAM 功能主要包括以下几个...
Terraform-aws-iam-role
02-14
以下是一个基本的IAM角色配置示例: ```hcl resource "aws_iam_role" "example" { name = "example-role" assume_role_policy = jsonencode({ Version = "2012-10-17" Statement = [ { Action = "sts:...
PyPI 官网下载 | aws-cdk.aws-iam-1.119.0.tar.gz
01-31
《PyPI上的aws-cdk.aws-iam-1.119.0:探索AWS云服务与Python编程的深度融合》 PyPI(Python Package Index)是Python开发者广泛使用的软件包仓库,其中包含了各种开源的Python库。在PyPI上,我们可以找到名为"aws-...
AWS DVA-C02样题
06-21
1. **AWS基础知识**:首先,考生需要了解AWS的基本服务和概念,包括计算(如EC2、Lambda)、存储(S3、EBS、Glacier)、数据库(RDS、DynamoDB)、网络(VPC、Route 53)等。这些服务的使用场景、工作原理和最佳实践...
AWS 小白书 [2] 什么是 IAM ?
boshansolo的博客
08-24 162
IAMIdentity & Access Management,这个服务是用来管理 AWS 资源访问权限的。简单来说,你可以创建不同的和,并给他们分配不同的,来去实现云上资源的。
AWS身份和访问管理模块新增标签和基于属性的访问控制能力
cpongo5
02-13 688
最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(ABAC)能力,并将AWS资源与IAM主体动态匹配,以“简化大规模的权限管理”。最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(...
AWS云从业者基础知识笔记】——模块6:安全
abcgkj的博客
02-16 5316
01介绍 学习目标 解释shared responsebility模型的好处。 描述multi-factor authentication(MFA)。 区分AWS IdentityIAM (Access Management安全级别。 解释AWS Organization的主要好处。 描述basic level的安全策略。 总结遵循AWS的好处。 从basic level解释其他AWS安全服务。 02Shared responsibility model 在本课程中,您已经了解了可以在AWS云中创建的
AWSIAM身份
qq_13633927的博客
06-07 454
1.User: Root User: All privilege in the account, and billing and password MGMT. IAM User SSO User 2.Group: like other system group. 3.Role: 应用场景 IAM user in another account Application code running on an EC2 instance that needs to perfor...
no identity-based policy allows the cloudformation:CreateStack action
云深海阔专栏
09-27 725
aws创建eks时出现报错。
aws iam入门之简介
蛐蛐的博客
01-16 1804
文档:What is IAM? - AWS Identity and Access Management 1.简介 AWS IAM 是一项 Web 服务,帮助安全地控制对 AWS 资源的访问。 使用 IAM 来控制谁经过身份验证(登录)和授权(拥有权限)使用资源。 首次创建 AWS 账户时,需要一个单一登录身份,该身份访问账户中的所有 AWS 服务和资源。 此身份称为 AWS 账户根用户,可通过电子邮件地址和密码登录来访问。 建议不要将 root 用户用于日常任务,即使是管理任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值