什么是 AWS IAM？

Question

什么是 AWS IAM？

Accepted Answer

**IAM**（Identity and Access Management，身份和访问管理）控制 AWS 中的**谁可以做什么** — 管理用户、组、角色和权限。这是 AWS 安全的基础：每项操作都通过 IAM 授权，因此理解它是必不可少的。

## IAM 管理什么

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — 定义权限

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies（JSON）指定**哪些操作**在**哪些资源**上被允许/拒绝 — 附加到用户、组或角色以授予权限。

## Roles — 临时凭证（非常重要）

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## 最佳实践

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## 为什么这很重要

理解 IAM 是必不可少的，因为它是 AWS 安全的基础 — AWS 中的每项操作都通过 IAM 授权，因此它是与 AWS 安全协作的基础、必须掌握的知识。

IAM 通过其核心组件控制**谁可以做什么**：**用户**（具有凭证的身份）、**组**（用于集中管理权限）、**角色**（临时假定的身份）和 **policies**（定义权限的 JSON 文档）。

理解 **policies**（指定哪些操作在哪些资源上被允许）是正确授予和理解权限所必需的。

理解 **roles** 尤其重要：它们提供**没有长期密钥的临时凭证**，使 EC2 实例、Lambda 函数和其他服务能够安全地访问 AWS 资源，**无需嵌入访问密钥** — 这是避免硬编码凭证这一严重风险的关键安全最佳实践。

理解**最佳实践** — 特别是**最小权限**（仅授予实际需要的权限，而不是广泛的管理员访问权限，限制任何泄露的范围）、为应用程序使用角色、启用 MFA 和保护根账户 — 对于 AWS 安全是必不可少的，因为 IAM 配置错误（权限过于宽泛、凭证泄露）是安全事件的常见来源。

由于 IAM 是所有 AWS 访问的守门员，正确配置对安全至关重要（配置不当会导致严重泄露），而且理解用户、角色、policies 和最小权限等最佳实践对于安全使用 AWS 是必不可少的，所以理解 IAM 是必不可少的、基础性的 AWS 知识 — 一个重要安全主题，每个 AWS 用户都必须理解，对于安全使用 AWS 并避免导致真实安全事件的访问控制错误至关重要。