本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM 的使用時機為何?
AWS Identity and Access Management 是一種核心基礎設施服務,可提供根據內部身分進行存取控制的基礎 AWS。您每次存取 AWS 帳戶時都會使用 IAM。使用 IAM 的方式將取決於組織中的具體責任和工作職責。 AWS 服務的使用者使用 IAM 存取day-to-day工作所需的 AWS 資源,管理員會授予適當的許可。另一方面,IAM 管理員負責管理 IAM 身分並撰寫政策,以控制對 資源的存取。無論您的角色為何,每當您驗證和授權存取 AWS 資源時,都會與 IAM 互動。這可能包括以 IAM 使用者身分登入、充當 IAM 角色,或利用聯合身分進行無縫存取。了解各種 IAM 功能和使用案例對於有效管理 AWS 環境的安全存取至關重要。在建立政策和許可時,IAM 可提供靈活且精細的方法。除了指定使用者或角色可存取的動作和資源的身分型政策之外,還可以定義信任政策來控制哪些主體可以擔任某個角色。透過設定這些 IAM 政策,可以協助確保使用者和應用程式具有適當的許可層級來執行其所需任務。
## 執行不同工作職能時
AWS Identity and Access Management 是一種核心基礎設施服務,可提供根據內部身分進行存取控制的基礎 AWS。每次存取 AWS 帳戶時都會使用 IAM。
使用 IAM 的方式會有所不同,具體取決於您在 AWS中所執行的工作。
+ 服務使用者 – 如果您使用 AWS 服務來執行任務,您的管理員會為您提供所需的登入資料和許可。隨著您為了執行作業而使用更多的進階功能,您可能會需要額外的許可。了解存取許可的管理方式可協助您向管理員請求正確的許可。
+ 服務管理員 – 如果您負責公司 AWS 的資源,您可能擁有 IAM 的完整存取權。您的任務是判斷服務使用者應存取的 IAM 功能及資源。接著,您必須將請求提交給您的 IAM 管理員,來變更您服務使用者的許可。檢閱此頁面上的資訊,了解 IAM 的基本概念。
+ IAM 管理員:如果您是 IAM 管理員,您可以透過管理 IAM 身分和寫入政策來管理 IAM 存取權。
## 當您獲得存取 AWS 資源的授權時
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
## 以 IAM 使用者身分登入時
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
## 擔任 IAM 角色時
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 建立政策和許可時
您能夠建立政策,進而將許可授與給使用者。該政策文件中會列出使用者可執行的動作,以及會受到這些動作影響的資源。根據預設,未明確允許的任何動作或資源將被拒絕。可建立政策並連接至主體 (使用者、使用者群組、使用者擔任的角色以及資源)。
可搭配使用這些政策與 IAM 角色:
+ **信任政策**:定義哪些[主體](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)可以在哪些條件下擔任該角色。信任政策是一項專屬於 IAM 角色的資源型政策。一個角色只能由一項信任政策。
+ **身分型政策 (內嵌和受管)**:這些政策會定義角色使用者能夠執行 (或無法執行) 的許可,以及在哪些資源上執行。
使用 [以身分為基礎的 IAM 政策範例](access_policies_examples.md) 可協助您定義 IAM 身分的許可。在您找到所需的政策後,選擇「查看政策」以查看政策的 JSON。您可以將 JSON 政策文件用作自己政策的範本。
**注意**
如果使用 IAM Identity Center 來管理使用者,您可以在 IAM Identity Center 指派許可集,而不是將許可政策連接至主體。當您將許可集指派給群組或 時 AWS IAM Identity Center 的使用者,IAM Identity Center 會在每個帳戶中建立對應的 IAM 角色,並將許可集中指定的政策連接到這些角色。IAM Identity Center 會負責管理角色,並允許您定義的授權使用者擔任該角色。修改許可集後,IAM Identity Center 會確保有據此更新對應的 IAM 政策和角色。
如需有關 IAM Identity Center 的詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。