何时使用 IAM？

AWS Identity and Access Management 是一项核心基础设施服务，为 AWS 中基于身份的访问控制提供基础。每次访问 AWS 账户时都使用 IAM。您使用 IAM 的方式将取决于组织内的具体职责和工作职能。AWS 服务的用户利用 IAM 访问其日常工作所需的 AWS 资源，管理员则授予相应的权限。另一方面，IAM 管理员负责管理 IAM 身份并编写策略来控制对资源的访问。无论您的角色如何，每次对 AWS 资源进行身份验证和授权访问时，您都会与 IAM 进行交互。这可能涉及以 IAM 用户身份登录、担任 IAM 角色或利用联合身份验证实现无缝访问。了解各种 IAM 功能和使用案例是有效管理 AWS 环境安全访问的关键举措。在创建策略和权限时，IAM 提供一种灵活而精细的方法。除了基于身份的策略（指定用户或角色可以访问的操作和资源）之外，您还可以定义信任策略来控制哪些主体可以担任角色。通过配置这些 IAM 策略，您可以帮助确保用户和应用程序具有执行其所需任务的适当权限级别。

当您执行不同的工作职能时

AWS Identity and Access Management 是一项核心基础设施服务，为 AWS 中基于身份的访问控制提供基础。每次访问 AWS 账户时都使用 IAM。

使用 IAM 的方式因您可以在 AWS 中执行的操作而异。

当您获得授权访问 AWS 资源时

身份验证是您使用身份凭证登录 AWS 的方法。您必须作为 AWS 账户根用户、IAM 用户或通过代入 IAM 角色进行身份验证。

您可以使用来自身份源 [例如 AWS IAM Identity Center（IAM Identity Center）] 的凭证、单点登录身份验证或 Google/Facebook 凭证，以联合身份进行登录。有关登录的更多信息，请参阅《AWS 登录 User Guide》中的 How to sign in to your AWS 账户。

对于编程访问，AWS 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息，请参阅《IAM 用户指南》中的适用于 API 请求的 AWS 签名版本 4。

当您以 IAM 用户身份登录时

IAM 用户是对单个人员或应用程序具有特定权限的身份。我们建议使用临时凭证，而非具有长期凭证的 IAM 用户。有关更多信息，请参阅《IAM 用户指南》中的要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 AWS。

IAM 组指定一组 IAM 用户，便于对大量用户进行权限管理。有关更多信息，请参阅《IAM 用户指南》中的 IAM 用户的使用案例。

当您代入 IAM 角色时

IAM 角色是具有特定权限的身份，可提供临时凭证。您可以通过从用户切换到 IAM 角色（控制台）或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息，请参阅《IAM 用户指南》中的担任角色的方法。

IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息，请参阅《IAM 用户指南》中的 IAM 中的跨账户资源访问。

当您创建策略和权限时

您可通过创建策略 (这是列出用户可执行的操作以及操作可以影响的资源的文档) 向用户授予权限。默认情况下会拒绝未显式允许的任何操作或资源。可将策略创建并附加到主体（用户、用户组、用户代入的角色以及资源）。

您可以将这些策略与 IAM 角色一起使用：

使用 IAM 基于身份的策略示例 帮助您的 IAM 身份定义权限。在找到所需的策略后，请选择查看该策略以查看该策略的 JSON 版本。您可以将该 JSON 策略文档用作自己策略的模板。