Identity Access Management, IAM allows you to manage users and their level of access to the AWS Console.

IAM 可以讓我們安全地管理 AWS 服務與資源的存取。我們可以使用 IAM 建立和管理 AWS 使用者和群組，並使用各種許可來允許和拒絕他們存取 AWS 資源。

IAM 是 AWS 帳戶的一項功能，並不收取其他費用。只需支付使用者使用其他 AWS 服務的費用。

• Centralised control of your AWS account
• Shared Access to your AWS account
• Granular Permissions
• Identity Federation (including Active Directory, Facebook, Linkedin etc)
• Multifactor Authentication
• Provide temporary access for users/devices and services where necessary
• Allow you to set up your own password rotation policy
• Integrates with many different AWS services
• Support PCI DSS Compliance

• 管理 IAM 使用者及其存取權 – 您可以在 IAM 中建立使用者，為他們指派個別的安全登入資料 (換句話說，就是存取金鑰、密碼和多重驗證裝置)，或請求臨時的安全登入資料，為使用者提供 AWS 服務和資源的存取權。您可以管理許可以控制使用者可執行的操作。
• 管理 IAM 角色及其許可 – 您可以在 IAM 中建立角色和管理許可，以控制擔任該角色的實體或 AWS 服務可執行的操作。您也可以定義允許擔任該角色的實體。此外，您可以使用服務連結角色將許可委派給 AWS 服務，讓它代您建立和管理 AWS 資源。
• 管理聯合身分使用者及其許可 – 您可以啟用聯合身分功能，以允許企業中的現有身分 (使用者、群組和角色) 存取 AWS 管理主控台、呼叫 AWS API 以及存取資源，而不必為每個身分建立 IAM 使用者。您可以使用任何支援 SAML 2.0 的身分管理解決方案，或者使用我們其中一個聯合範例 (AWS 主控台 SSO 或 API 聯合)。

—-

IAM 中包了幾個重要的元素:

• User: End Users (think people)
• Groups: A collection of users under one set of permissions
• Roles: You create roles and can then assign them to AWS resources
• Policies: A document that defines one or more permissions

Roles 就是一些規則，跟 User 不同的是他的對象是 AWS Resources，例如我們可以把 Role 配置到 EC2 上，讓 EC2 有直接存取 S3 的權限而不需要配置帳號密碼之類

Policies 基本上就是 Permissions 的集合，我們可以把 Polocies 附加在 Users, Groups 或 Roles 上，而不同的 Users, Groups 或 Roles 之間也可以使用同樣一份 Policie