Chapter 3-1: IAM 101

0x00 What is IAM?

Identity Access Management, IAM allows you to manage users and their level of access to the AWS Console.

IAM 可以讓我們安全地管理 AWS 服務與資源的存取。我們可以使用 IAM 建立和管理 AWS 使用者和群組，並使用各種許可來允許和拒絕他們存取 AWS 資源。

IAM 是 AWS 帳戶的一項功能，並不收取其他費用。只需支付使用者使用其他 AWS 服務的費用。

管理 IAM 使用者及其存取權 – 您可以在 IAM 中建立使用者，為他們指派個別的安全登入資料 (換句話說，就是存取金鑰、密碼和多重驗證裝置)，或請求臨時的安全登入資料，為使用者提供 AWS 服務和資源的存取權。您可以管理許可以控制使用者可執行的操作。
管理 IAM 角色及其許可 – 您可以在 IAM 中建立角色和管理許可，以控制擔任該角色的實體或 AWS 服務可執行的操作。您也可以定義允許擔任該角色的實體。此外，您可以使用服務連結角色將許可委派給 AWS 服務，讓它代您建立和管理 AWS 資源。
管理聯合身分使用者及其許可 – 您可以啟用聯合身分功能，以允許企業中的現有身分 (使用者、群組和角色) 存取 AWS 管理主控台、呼叫 AWS API 以及存取資源，而不必為每個身分建立 IAM 使用者。您可以使用任何支援 SAML 2.0 的身分管理解決方案，或者使用我們其中一個聯合範例 (AWS 主控台 SSO 或 API 聯合)。

—-

IAM 中包了幾個重要的元素:

Roles 就是一些規則，跟 User 不同的是他的對象是 AWS Resources，例如我們可以把 Role 配置到 EC2 上，讓 EC2 有直接存取 S3 的權限而不需要配置帳號密碼之類

Policies 基本上就是 Permissions 的集合，我們可以把 Polocies 附加在 Users, Groups 或 Roles 上，而不同的 Users, Groups 或 Roles 之間也可以使用同樣一份 Policie