AWS IAM基本概念

已于 2022-05-20 22:12:28 修改
阅读量3.4k 收藏 5
点赞数
分类专栏: AWS 文章标签: AWS IAM AWS Identity AWS policy
于 2022-05-20 22:11:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/124831965
版权

1 关于IAM

IAM全称是Identity and Access Management,身份和访问管理,是一套用于登录验证和管理的框架,
可用于单点登录、多因素身份验证、基于策略的集中式授权和审计、动态授权等场景。

从管理对象来看,

  • 一个是管理identity,验证用户的合法性,即Authentication
  • 另一个是管理资源的access,也就是资源授权,即Authorization

2 AWS identity/principal

在AWS上,identity和principal是等价的,都是指代可以对资源进行操作的发起方,主要有:

  • user
  • role
  • federated user
  • application

2.1 user和role的区别

  • user可以在console上登录,有永久的认证信息,比如用户名和密码,但是role是无法登录的,也没有认证凭证
  • user一般是给某个人使用,而token可以给任何有需要的人使用,当然也可以给user使用
  • role通过临时生成的密钥来访问资源,默认1h,最长12h,在role的传导场景,最长是1h
  • user只能存在于某个账号下,role可以跨账号, 但是user可以通过switch到其他role来达到跨账号的目的

2.2 federated user

当用户已经有了一个用户身份,比如域账号或者Okta,可以不用单独为这个用户在AWS中创建user和配置policy,我们可以直接通过用户的域账号身份去访问AWS的资源。但这个需要有IDP的参与,也就是Identity provider。这样不仅省去对新账号的管理,也减少创建账号的时间消耗。

以域账号为例,此时IDP即为ADFS,用户通过域账号认证身份后,ADFS会按照SAML 2.0规范生成身份验证信息,发给Server Provider(服务提供商),从而实现联合验证,此时该用户就是一个federated user

3 AWS资源访问

对AWS资源操作的请求包含三部分,

  • 主体(Identity)
  • 操作(Action)
  • 资源(Resource)

AWS通过策略(Policy)来定义主体权限(Permissions),最基本的策略有两大类,

  • Identity-based policy,它关联到特定的User/Role/Group上,指定这些主体能对哪些资源进行怎样的操作
  • Resource-based policy,它关联到具体的AWS资源上,指定哪些主体可以对这个资源做怎样的操作
Blue summer
关注
专栏目录
aws iam入门之简介
蛐蛐的博客
01-16 1830
文档:What is IAM? - AWS Identity and Access Management 1.简介 AWS IAM 是一项 Web 服务,帮助安全地控制对 AWS 资源的访问。 使用 IAM 来控制谁经过身份验证(登录)和授权(拥有权限)使用资源。 首次创建 AWS 账户时,需要一个单一登录身份,该身份访问账户中的所有 AWS 服务和资源。 此身份称为 AWS 账户根用户,可通过电子邮件地址和密码登录来访问。 建议不要将 root 用户用于日常任务,即使是管理任务。
AWS无服务器 应用程序开发—第九章 权限(Amazon IAM
xianyinsuifeng的博客
06-13 336
AWS Identity and Access Management (IAM) 是一个非常重要且功能丰富的服务,它允许您安全地管理对 AWS 服务和资源的访问。IAM 提供了许多功能和工具来控制和保护您的 AWS 环境。
AWS - IAM
MarvinChen003的专栏
07-13 609
All roles are global.
AWSIM 开源自动驾驶模拟器使用教程
最新发布
gitblog_00412的博客
10-11 323
AWSIM 开源自动驾驶模拟器使用教程 AWSIM Open source simulator for self-driving vehicles 项目地址: https://gitcode.com/gh_mirrors/aw/A...
AWS IAM入门
danpu0978的博客
04-23 298
最近, AWS宣布,自今年6月30日起,必须将IAM角色及其EMR服务一起使用。 在本文中,我将向您展示从AWS开始时如何设置IAM基础。 从头开始使用新的AWS帐户时,您将看到以下管理控制台。 选择选项身份和访问管理,以便我们开始创建用户,角色等: 我要做的第一件事是通过更改登录链接来创建友好的登录URL: 我做这样的事情: 现在,我设置的用户可以使用此链接登录到...
AWS IAM
尘世中迷途小码农的专栏
04-18 1120
IAM (Identity and Access Management) IAM不是用于存储应用的认证和授权信息,是用于AWS资源的认证和授权 IAM也不用于操作系统的认证和授权 常见认证/授权场景 操作系统:AD/LDAP Application:AD, Application user repository, Amazon Cognito AWS Resources: I...
浅谈AWS安全服务之IAM
qq_22492039的博客
07-24 479
浅谈AWS安全服务之IAM 随着AWS(目前应该叫亚马逊云,哈哈)在中国区开始做生意以来,陆陆续续上线了很多云安全方面的服务,但大多数都是卖相不错,好不好用真是仁者见仁之智者见智了。 今天就瞎聊下AWS所有服务的基础-IAM,没有实际案例哈,都是瞎聊。 这个东西官方介绍,可以看下面: https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html 简而言之,IAM就干两个活,认证跟授权。 认证就是怎么证明你是你。 其实实现方法还是老三样:用户
AWS IAM介绍
打牛地的博客
03-20 2432
IAM是干什么的 很多人不知道IAM是什么东西,IAM简单来说只干了两件事 Identity:认证身份 Access Management:授权 认证身份 一般有这么几种访问方式,最常见的当然是AWS管理控制台,CLI可以通过命令行访问,而SDKs则像直接调用类库来访问,python,java都可以直接调用。 授权操作 策略 策略操作你可以自己创建自己想要的策略,比如允许访问S3策略。 角色...
一文看懂AWS IAM设计和使用
Inplayable的博客
09-14 505
IAM AWS Role User Github
探索AWS IAM:用户管理与权限控制实战
身份与访问管理(Identity and Access Management, IAM)是...通过这个实验,学习者将掌握IAM的基础概念,学会如何在AWS环境中有效地进行身份和访问管理,这对于任何在AWS上工作的专业人员来说都是极其重要的技能。
PyPI 官网下载 | aws-cdk.aws-iam-1.119.0.tar.gz
01-31
《PyPI上的aws-cdk.aws-iam-1.119.0:探索AWS云服务与Python编程的深度融合》 PyPI(Python Package Index)是Python开发者广泛使用的软件包仓库,其中包含了各种开源的Python库。在PyPI上,我们可以找到名为"aws-...
如何使用AWS IAM进行身份和访问管理
AWS Identity and Access Management (IAM) 是一种 AWS 服务,用于管理 AWS 资源的访问权限和控制。通过 IAM,您可以控制哪些用户有权访问您的 AWS 资源,以及哪些操作他们可以执行。 IAM 允许您创建和管理 AWS ...
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4295
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
AWS IAM 基本概念
wumingxiaoyao的博客
07-27 1418
介绍 AWS IAM 基本概念,在 AWS 环境中,ADFS 可以用来实现身份联合,允许用户使用他们在企业的 Active Directory 中的凭据来登录 AWS 管理控制台或进行程序访问。这样,企业可以保持对用户身份的集中管理,同时允许用户访问 AWS 资源而无需为他们创建单独的 AWS IAM 用户。
AWS攻略——一文看懂AWS IAM设计和使用
方亮的专栏
09-14 3668
IAM Github CodeCommit Role User Policy
AWS创建IAM用户,以及通过IAM用户登录
weighless的博客
03-28 910
更侧重于简化用户跨多个AWS账户和应用程序的访问管理,提供单一登录(SSO)体验,适合需要集中身份管理和简化用户登录过程的组织。IAM则更专注于提供针对单个AWS账户内资源的访问控制,包括用户、角色、权限策略等的管理,适合需要对AWS资源进行精细访问控制的场景。也就是IAM Identity Center是可以通过我自己的账户登录,然后访问主账户的资源,而IAM是主账户给的账户密码登录根据我们的实际情况,选择IAM比较方便。
[ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号
热门推荐
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
07-03 1万+
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助你安全地控制对 AWS 资源的访问。借助 IAM,你可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。IAMIdentity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。IAM 主要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。
aws iam 架构图_使用IAM保护您的AWS基础架构
最佳 Java 编程
06-14 1160
aws iam 架构图 在开发新产品并发现合适的产品市场时,每个团队都需要快速行动。 尤其是初创公司,因为公司的整个未来都取决于快速找到为您的产品付款的人。 对于初创企业和其他团队来说, Amazon Web Services是令人难以置信的工具,可以快速构建其应用程序和基础架构。 这些团队通常具有比适当的系统操作更强大的开发背景。 AWS提供了出色的工具来处理密钥,身份验证和安全性,...
aws iam入门之Identities (users, user groups, and roles)
蛐蛐的博客
01-23 502
文档:IAM Identities (users, user groups, and roles) - AWS Identity and Access Management 1.简介 AWS 账户根用户或账户的 IAM 管理员可以创建IAM 身份。IAM 身份提供对 AWS 账户的访问。 用户组是作为一个单元管理的 IAM 用户的集合。 IAM 身份代表用户,可以进行身份​​验证,然后授权在 AWS 中执行操作。 每个 IAM 身份都可以与一个或多个策略相关联。 策略确定用户、角色或用户
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值