IAM consist of the following:

• Users
• Groups (A way to group our users and apply policies to them collectively)
• Roles
• Policy Documents

{"Version":"2012-10-17",
 "Statement":
 [
  {"Effect":"Allow",
   "Action":"*",
   "Resource":"*"
  }
 ]
}

• IAM is universal. It does not apply to region at this time.

IAM 不像有些服務是有分 Region 的，當我們在 IAM 的 Console 介面時可以發現 Region 那邊是 Global，不會特別讓使用者選擇其他地區的

• The “root account” is simply the account created when first set up your AWS account. It has complete Admin access.

當我們使用 email 註冊了一個 AWS 帳號時，這個帳號就是 root account，有著最高權限，以這個帳號登入可以在 Console 右上方看到帳號名稱 ex: kshuang

• New Users have NO permissions when first created.

在 IAM 中我們也可以新建使用者，但預設是沒有權限的，我們必須自己賦予使用者對應的權限

• New Users are assigned Access Key ID & Secret Access Keys when first created.

新的使用者在建立時會有一組自己的 Access Key ID & Secret Access Keys

• These are not the same as a password, and you cannot use the Access Key ID & Secret Access Key to login into the console. You can use this to access AWS via APIs and Command Line, however.

Access Key ID & Secret Access Keys 和密碼不同，它的功用是讓該使用者可以通過 AWS APIs 或 Command Line 的認證來存取資源，但無法像密碼一樣用來登入 AWS console

• You only get to view these once. If you lose them, you have to regenerate them. So save them in a secure location.

Access Key ID & Secret Access Keys 只會出現一次，當創建完使用者關閉網頁視窗後，Access Key ID & Secret Access Keys 就不會在任何設定中出現，所以創建玩帳號之後要妥善保存，若遺失了則只能 regenerate (Access Key ID & Secret Access Keys, 不是帳號)

• Always setup Multifactor Authentication on your root account.

建議對 root account 設置多重驗證

• You can create and customize your own password rotation policies.

在 AWS 中我們也可以設置更換密碼的規則，例如需包含數字、大小寫、長度、多久需更換一次、不得與前幾次重複…等