IAM 精细访问控制
概览
AWS Identity and Access Management(IAM)为您提供精细访问控制,以帮助您建立权限,确定谁可以在哪些条件下访问哪些 AWS 资源。使用精细访问控制来帮助保护您的 AWS 资源,以实现最低权限。
工作原理
工作原理:在 IAM 中,您可以使用策略来定义谁可以访问您的 AWS 资源。您将策略附加到 AWS 账户中的 IAM 角色和您的 AWS 资源。对于向 AWS 发出的每个请求,IAM 通过将其与您的策略进行比较来授权该请求,并允许或拒绝该请求。有关更多信息,请参阅 IAM 用户指南的了解 IAM 工作原理部分。
IAM 策略语言:IAM 策略语言称为 JSON,允许您通过在策略中使用操作、资源和条件元素来精细地表达您的访问需求。有关更多信息,请参阅 IAM JSON 策略参考。
授予访问权限的策略类型:IAM 让您可以灵活地将策略附加到您的 IAM 角色和支持基于资源的策略的 AWS 资源。基于身份的策略和基于资源的策略共同定义访问控制。有关策略类型的更多信息,请参阅 IAM 用户指南的 IAM 中的策略和权限部分。
预防性防护机制:预防性防护机制可帮助您建立 IAM 角色可用的最大权限边界。您可以使用服务控制策略、权限边界和会话策略来限制可以授予 IAM 角色的权限。要了解有关建立预防性防护机制的更多信息,请参阅 AWS 上的数据边界。
基于属性的访问控制(ABAC):使用 ABAC,根据附加到 IAM 角色(例如部门和工作角色)的属性定义精细权限。根据属性授予对单个资源的访问权限,让您不必为将来添加的每个新资源更新策略。有关更多信息,请参阅适用于 AWS 的 ABAC。
要了解有关简化权限管理的信息,请参阅 IAM 访问分析器引导您实现最低权限。此外,观看 AWS 身份:下一代权限管理以了解有关 IAM 中精细访问控制的更多信息。