目录
- IAM概述
- 根用户和IAM用户
- 参考
IAM概述
IAM(Identity Access Management)是身份和访问管理服务,要访问AWS服务和资源,就要使用IAM进行身份验证和授权。当我们通过控制台,CLI,或API访问AWS服务时,都需要通过IAM服务进行身份验证。所有的委托人都必须进行身份验证才能发送请求,执行操作(少数例外)。那什么是委托人呢?委托人是对AWS资源和服务执行动作或操作的用户,或者是应用程序的代称。AWS用户,角色,联合身份用户,应用,这些都可以是委托人。
委托人他们执行动作或操作是通过API来和AWS服务进行交互的,有2种类型的策略,一是基于身份的策略,二是基于资源的策略(实际上还有第三种策略,即自定义策略,此处不做赘述)。
基于身份的策略是附加到IAM身份,如IAM用户,组,或角色的权限策略,也就是说我们可以分配权限给IAM用户,可以使用策略控制它对资源的访问,策略决定是否授权请求,也就是说是允许还是拒绝对资源的请求;也可以分配基于资源的策略,将策略附加到资源上对委托人进行授权和分配策略。
在AWS上一切操作都是对应着对API的调用,所以当你启动一个EC2实例时,实际上是启动Runinstances命令,如果尝试获取一个S3存储同相关的信息时,则是运行Get Bucket这个API的操作,如果尝试在IAM中创建用户,则您正在调用Createuser命令,您与任何AWS资源进行交互时,实际都是在执行一个API的操作,您需要分配权限给您的账号,需要添加相应的策略去执行特定的操作,通过分配权限,制定策略获得AWS资源操作授权,以上即是IAM服务的概述。
根用户和IAM用户
参考
Document Link
https://docs.aws.amazon.com/zh_cn/index.html?nc2=h_ql_doc_do
AWS Region & AZ
https://aws.amazon.com/cn/about-aws/global-infrastructure/regions_az/
policy json
https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_policies_elements.html
plugin
https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/getting-started-install.html
