前言

AWS是世界上最大的云服务提供商,它提供了很多组件供消费者使用,其中进行访问控制的组件叫做IAM(Identity and Access Management), 用来进行身份验证和对AWS资源的访问控制。

功能

IAM的功能总结来看,主要分两种:

  • 验证身份(Authentication)

  • 授权访问(Authorization)

验证身份

验证身份的主要目的就是验证你的身份。

主要的身份实体有3种:

  • 用户(user),实体创建的用户,与用户组的关系为多对多

  • 用户组(group),根据一定规则分类的抽象集合,与用户的关系为多对多

  • 角色(role),其余AWS资源,例如EC2实例、Lambda函数等

对于用户来说,我们在控制台看到的是一个用户名,实际上在后台,它是一串资源字符串:

arn:aws:iam::account-ID-without-hyphens:user/User-name

确认方式有以下几种:

  1. AWS管理控制台,使用username/password方式进行认证

  2. AWS命令行工具,使用Access Key/Secret Key进行认证

  3. AWS产品开发包(SDK),使用Access Key/Secret Key进行认证

  4. Restful API,使用Access Key/Secret Key进行认证

设定权限

对于AWS来说,这部分是通过Policy来实现的。

Policy规定了被认证的实体可以访问什么权限,怎样访问权限的问题,主要由Statement来完成。而Statement是使用json格式来填写的。

针对不同的层级,我们将Policy分为两种:

  1. 针对已认证用户的层级,我们称为“Identified-Based Policy”

  2. 针对资源层级,我们称为“Resource-Based Policy”

Statement的写法如下:

{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Action": "s3:ListAllMyBuckets",

      "Resource": "*"

    },

    {

      "Effect": "Allow",

      "Action": [

        "s3:ListBucket",

        "s3:GetBucketLocation"

       ],

      "Resource": "arn:aws:s3:::productionapp"

    },

    {

      "Effect": "Allow",

      "Action": [

        "s3:GetObject",

        "s3:PutObject",

        "s3:DeleteObject"

      ],

      "Resource": "arn:aws:s3:::productionapp/*"

    }

  ]

}

Identified-Based Policy

这里的Policy是针对被验证过用户的层级(此处的用户包含我上面讲的User、Group、Role)。

Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。

而Statement又包含以下内容:

  1. Effect,决定你能不能访问(Allow/Deny)

  2. Action,允许你对服务做什么动作

  3. Resource,指明这次的Statement是对哪个资源做动作

Resource-Based Policy

这里的Policy是针对资源本身的层级。

Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。

而Statement又包含以下内容:

  1. Effect,决定你能不能访问(Allow/Deny)

  2. Action,允许你对服务做什么动作

  3. Resource,指明这次的Statement是对哪个资源做动作,由于是针对自己的,所以要加上self

  4. Principle,将自己的资源套用给谁

Identified-Based Policy和Resource-Based Policy的区别

  1. Identified-Based Policy是Policy层级的,而Resource-Based Policy是Statement层级的,Identified-Based Policy比Resource-Based Policy高了一级

  2. Identified-Based Policy是从用户角度来看待权限管理的,而Resource-Based Policy是从资源角度来看待权限管理的。

小结

  1. IAM是用来做什么的

  2. 用户、用户组、角色的介绍

  3. Policy的介绍,Identified-Based Policy和Resource-Based Policy的介绍和对比

参考与鸣谢

官网 IAM

01 IAM 是做什么的? - YouTube

圖解AWS教學 - IAM - 整體架構 入門介紹 - YouTube

AWS IAM介绍的更多相关文章

  1. AWS IAM (Identity and Access Management) 使用笔记

    为 AWS 管理控制台登录页面 URL 创建别名 $ aws iam create-account-alias --account-alias <value> 创建用户 $ aws iam ...

  2. AWS Switching to an IAM role (AWS CLI)

    一,引言 今天额外分享一篇 AWS 的技术内容,需要在 EC2 切换到跨账号 IAM 角色(AWS CLI).假设我们使用两个 AWS 账户,A账号,B账号.我们希望允许 A 账号用于 "i ...

  3. AWS EKS 添加IAM用户角色

    作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://ww ...

  4. 基于AWS的云服务架构最佳实践

    ZZ from: http://blog.csdn.net/wireless_com/article/details/43305701 近年来,对于打造高度可扩展的应用程序,软件架构师们挖掘了若干相关 ...

  5. 云K8S - AWS容器库ECR(ERS)编排ECS-EKS以及阿里云编排ACS-ACK

    云K8S相关 AWS 部分-ECR(ERS) ECS EKS 20180824 Chenxin AWS的容器编排目前分为 ECS 和 EKS 两种. AWS价格说明 Fargate模式的ECS,换算成 ...

  6. 国外物联网平台(1):亚马逊AWS IoT

    国外物联网平台(1)——亚马逊AWS IoT 马智 平台定位 AWS IoT是一款托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互. AWS IoT可支持数十亿台设备和数万亿条消息,并 ...

  7. How do I use EC2 Systems Manager to join an instance to my AWS Directory Service domain?

    1. Create new role "EC2RoleforSSM" in AWS IAM AWS->IAM->Roles->Create role->Se ...

  8. 国外物联网平台初探(一) ——亚马逊AWS IoT

    平台定位 AWS IoT是一款托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互. AWS IoT可支持数十亿台设备和数万亿条消息,并且可以对这些消息进行处理并将其安全可靠地路由至 AW ...

  9. Qwiklab'实验-Hadoop, IoT, IAM, Key Management'

    title: AWS之Qwiklab subtitle: 1. Qwiklab'实验-Hadoop, IoT, IAM, Key Management Service' date: 2018-09-1 ...

  10. AWS物联网解决方案之:如何将设备安全地接入AWS IoT

    1 简介 AWS IoT解决方案是一个全托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互.AWS IoT可以支持数十亿太设备和数万亿条消息,并且可以对这些消息进行处理并将其安全可靠地路 ...

随机推荐

  1. obspy常用命令记录

    如何使用obspy(适用于MAC.Linux.Windows)完全替代SAC(使用于Linux和MAC) 波形预处理 # 去均值 stream.detrend('demean') # 去线性趋势 st ...

  2. SQL Server datetime类型为null的有趣实验

    @data1 --变量 测试用 @data2 --当前时间 当@data1为null 则格式转换错误 直接控制台什么也不显示 也不报错 当定义'' 显示默认时间

  3. 龙中华著《Spring Boot实战派》读书笔记之基础篇

    第四章 Spring Boot 基础 4.1 了解Spring Boot 项目结构 src/main/java //入口类,等 src/main/resources //静态文件和配置文件 src/t ...

  4. UG二次开发-内存访问违例

    在项目中修改路径参数后重算发生了内存访问违例的错误,经过调试,发现是下面这一行出的错 surfaceContourBuilder1.Commit(); 经过反复调试,发现这个东西不能随便放,不可以想当 ...

  5. NFS只能挂载为nobody的解决办法

    方法一 mount中指定参数 mount -t nfs -o vers=3 192.168.23.23:/data1 /data1 这种方法不推荐,但可以解决临时挂载的需求 方法二 cat /etc/ ...

  6. 手机设置fiddler代理后无法上网

    方法一:打开防火墙设置 参考链接:https://www.jianshu.com/p/b122eab059c4 1.打开控制面板->系统和安全->Windows Defender 防火墙, ...

  7. 各种系统名词解释:MIS 、ERP、CRM、OA

    MIS :信息系统.针对企业使用的软件,都可以叫做MIS系统. (管理信息系统--Management Information System)系统 ,是一个由人.计算机及其他外围设备等组成的能进行信息 ...

  8. ASM1117脚位图

  9. AOP的使用及特性

    转载自:https://blog.csdn.net/tianyaleixiaowu/article/details/70853147 https://www.jianshu.com/p/830e799 ...

  10. 基于Mindspore2.0的GPT2预训练模型迁移教程

    摘要: 这篇文章主要目的是为了让大家能够清楚如何用MindSpore2.0来进行模型的迁移. 本文分享自华为云社区<MindNLP-基于Mindspore2.0的GPT2预训练模型迁移教程> ...