AWS是世界上最大的云服務(wù)提供商,它提供了很多組件供消費者使用�,其中進(jìn)行訪問控制的組件叫做IAM(Identity and Access Management), 用來進(jìn)行身份驗證和對AWS資源的訪問控制�。
功能
IAM的功能總結(jié)來看,主要分兩種:
驗證身份
驗證身份的主要目的就是驗證你的身份�����。
主要的身份實體有3種:
用戶(user)�����,實體創(chuàng)建的用戶�����,與用戶組的關(guān)系為多對多
用戶組(group)����,根據(jù)一定規(guī)則分類的抽象集合�����,與用戶的關(guān)系為多對多
角色(role)�,其余AWS資源�,例如EC2實例�����、Lambda函數(shù)等
對于用戶來說����,我們在控制臺看到的是一個用戶名,實際上在后臺�����,它是一串資源字符串:
arn:aws:iam::account-ID-without-hyphens:user/User-name
確認(rèn)方式有以下幾種:
AWS管理控制臺����,使用username/password方式進(jìn)行認(rèn)證
AWS命令行工具,使用Access Key/Secret Key進(jìn)行認(rèn)證
AWS產(chǎn)品開發(fā)包(SDK)�����,使用Access Key/Secret Key進(jìn)行認(rèn)證
Restful API�,使用Access Key/Secret Key進(jìn)行認(rèn)證
設(shè)定權(quán)限
對于AWS來說,這部分是通過Policy來實現(xiàn)的�����。
Policy規(guī)定了被認(rèn)證的實體可以訪問什么權(quán)限,怎樣訪問權(quán)限的問題�,主要由Statement來完成。而Statement是使用json格式來填寫的�。
針對不同的層級,我們將Policy分為兩種:
針對已認(rèn)證用戶的層級�����,我們稱為“Identified-Based Policy”
針對資源層級����,我們稱為“Resource-Based Policy”
騰科IT教育
