劳保用品 技术支持 东莞网站建设,wordpress 首页导航,南京专业做网站公司,全网营销包括什么【AWS入门】AWS身份验证和访问管理#xff08;IAM#xff09;
[AWS Essentials] AWS Identity and Access Management (IAM)
By JacksonML
众所周知#xff0c;AWS亚马逊云科技位列全球云计算服务第一位#xff0c;并且持续为广大客户提供安全、稳定的各类云产品和服务。…【AWS入门】AWS身份验证和访问管理IAM
[AWS Essentials] AWS Identity and Access Management (IAM)
By JacksonML
众所周知AWS亚马逊云科技位列全球云计算服务第一位并且持续为广大客户提供安全、稳定的各类云产品和服务。
1. 访问AWS的身份基础
那么要想使用AWS首先就需要创建账户只有通过账户登录才能坐享在线提供的超过200种的AWS产品和服务。当然这一切都无需部署物理服务器。
拿来就用是硬道理。
如果没有账户用户需要按照AWS提供的信息填写邮箱、密码等登录信息以及姓名、地址和电话号码等联系人信息。同时无论是否付费需要关联信用卡支付信息后即可获得12位长的数字编号也就是AWS账号。
完成注册后就可以用所填写的邮件地址和密码登录AWS控制台并可开始使用EC2等各种AWS服务。
不过请注意此时登录的邮箱成为Root user(根用户)该用它登录当然可以进行全部操作。 图1 使用Root user根用户登录Web页面
2. 安全账户访问AWS
由于Root user(根用户)具备所有权限无法得到控制万一有了误操作或者密码泄露后果不堪设想。
因此AWS账户策略是日常操作不使用根用户而是在账户内创建其他用户用该用户登录并进行操作。一个账户可以创建多个用户。 图1 使用IAM账户登录Web页面
3. 什么是IAM
1 IAM概念
AWS Identity and Access Management (IAM) 即AWS身份和访问管理这是一种 Web 服务可以帮助用户安全地控制对 AWS 资源的访问。借助 IAM可以管理控制用户赋予用户可访问哪些 AWS 资源的权限。
例如可以使用 IAM 来控制谁通过了身份验证准许登录并获得授权具有相应权限来使用资源。IAM 提供了控制AWS 账户身份验证和授权使用所需的基础设施。
2 访问控制策略
访问控制策略来自AWS用户管理和AWS身份和访问管理(AWS Identity an Access Management,简称AWS IAM)服务。
要完成IAM首先需在IAM服务中创建组即IAM组和用户即IAM用户然后对每个IAM组和IAM用户设定是否允许访问AWS的各种资源权限IAM策略。
IAM组/用户/策略如下图。 图3 IAM分组用户访问控制
3 身份
当用户创建 AWS 账户时最初使用的是一个对账户中所有 AWS 服务和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户Root user(根用户)使用该用户创建账户时所用的电子邮件地址和密码登录即可获得该身份。
强烈建议不要使用根用户执行日常任务。保护好根用户凭证并使用这些凭证来执行仅根用户可以执行的任务。
除了根用户之外使用 IAM 还可以设置其他身份例如管理员、分析师和开发人员并且可以授予其访问成功完成其任务所需资源的访问权限。
4 访问管理
在 IAM 中设置用户后他们将使用其登录凭证向 AWS 进行身份验证。通过匹配登录凭证与受 AWS 账户信任的主体IAM 用户、联合用户、IAM 角色或应用程序来进行身份验证。
接下来请求授予主体对资源的访问权限。如果用户已被授予资源的相应资源则根据授权请求授予访问权限。 例如当用户首次登录控制台并进入控制台主页时并未访问特定服务。
当选择一项服务时授权请求将发送至该服务并查看该用户的身份是否在授权用户列表中正在执行哪些策略来控制授予的访问级别以及任何其他可能生效的策略。
授权请求可以由AWS 账户内的主体提出也可以由其信任的其他 AWS 账户 提出。 获得授权后主体可以对用户的AWS 账户 里的资源采取行动或执行操作。例如主体可以启动新的 Amazon Elastic Compute Cloud Amazon EC2实例、修改 IAM 群组成员资格或删除 Amazon Simple Storage Service S3存储桶。
4. IAM服务可用性
IAM 和很多其他 AWS 服务一样具备最终一致性。IAM 通过复制 Amazon 在全球的数据中心所属的多个服务器数据来实现数据的高可用性。
如果成功请求更改某些数据则更改会提交并安全存储。不过更改必须跨 IAM 复制这需要一定的时间。此类更改包括创建或更新用户、组、角色或策略。
在应用程序的关键、高可用性代码路径中AWS不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。 另外在生产工作流程依赖这些更改之前请务必验证更改已传播。
关于AWS身份与访问管理还有很多很多实践和相关学习内容。 AWS技术好文陆续推出敬请关注、收藏和点赞。
您的认可我的动力
相关阅读
【AWS入门】Amazon SageMaker简介【AWS入门】Amazon Bedrock简介【AWS入门】Amazon Q Developer简介【AWS入门】AWS Lambda应用简介【AWS入门】Amazon Nova简介【AWS入门】Amazon S3简介【AWS入门】Amazon EC2简介【AWS入门】AWS云计算简介【AWS入门】创建并使用AWS Builder ID【AWS入门】2025 AWS亚马逊云科技账户注册指南
