AWS是世界上最大的云服務(wù)提供商�,它提供了很多組件供消費(fèi)者使用,其中進(jìn)行訪問控制的組件叫做IAM(Identity and Access Management)�, 用來進(jìn)行身份驗(yàn)證和對(duì)AWS資源的訪問控制。
功能
IAM的功能總結(jié)來看�����,主要分兩種:
驗(yàn)證身份
驗(yàn)證身份的主要目的就是驗(yàn)證你的身份�����。
主要的身份實(shí)體有3種:
用戶(user),實(shí)體創(chuàng)建的用戶�,與用戶組的關(guān)系為多對(duì)多
用戶組(group),根據(jù)一定規(guī)則分類的抽象集合�,與用戶的關(guān)系為多對(duì)多
角色(role),其余AWS資源�����,例如EC2實(shí)例�����、Lambda函數(shù)等
對(duì)于用戶來說�����,我們?cè)诳刂婆_(tái)看到的是一個(gè)用戶名�����,實(shí)際上在后臺(tái)�,它是一串資源字符串:
arn:aws:iam::account-ID-without-hyphens:user/User-name
確認(rèn)方式有以下幾種:
AWS管理控制臺(tái),使用username/password方式進(jìn)行認(rèn)證
AWS命令行工具�,使用Access Key/Secret Key進(jìn)行認(rèn)證
AWS產(chǎn)品開發(fā)包(SDK),使用Access Key/Secret Key進(jìn)行認(rèn)證
Restful API�,使用Access Key/Secret Key進(jìn)行認(rèn)證
設(shè)定權(quán)限
對(duì)于AWS來說�����,這部分是通過Policy來實(shí)現(xiàn)的�����。
Policy規(guī)定了被認(rèn)證的實(shí)體可以訪問什么權(quán)限�,怎樣訪問權(quán)限的問題�����,主要由Statement來完成�����。而Statement是使用json格式來填寫的�����。
針對(duì)不同的層級(jí)�,我們將Policy分為兩種:
針對(duì)已認(rèn)證用戶的層級(jí)�����,我們稱為“Identified-Based Policy”
針對(duì)資源層級(jí),我們稱為“Resource-Based Policy”
騰科IT教育
