本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Lake 的身分和存取管理
AWS Identity and Access Management(IAM) 是AWS 服務,可協助管理員安全地控制對AWS資源的存取。IAM 管理員可控制誰可以進行身分驗證 (登入) 和授權 (具有許可),以使用 Security Lake 資源。IAM 是您可以免費使用AWS 服務的 。
主題
目標對象
使用方式AWS Identity and Access Management(IAM) 會根據您的角色而有所不同:
-
服務使用者 — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 對 Amazon Security Lake 身分和存取進行故障診斷)
-
服務管理員 — 負責設定使用者存取權並提交相關許可請求 (請參閱 Security Lake 如何與 IAM 搭配使用)
-
IAM 管理員 — 撰寫政策以管理存取控制 (請參閱 Security Lake 的身分型政策範例)
使用身分驗證
身分驗證是您AWS使用身分憑證登入 的方式。您必須以AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如AWS IAM Identity Center(IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入使用者指南》中的如何登入您的AWS 帳戶。
對於程式設計存取,AWS提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》中的 API 請求的AWS第 4 版簽署程序。
AWS 帳戶根使用者
當您建立 時AWS 帳戶,您會從一個名為AWS 帳戶theroot 使用者的登入身分開始,該身分具有對所有AWS 服務和資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》中的需要根使用者憑證的任務。
聯合身分
最佳實務是要求人類使用者使用聯合身分提供者,以AWS 服務使用臨時憑證存取 。
聯合身分是來自您的企業目錄、Web 身分提供者的使用者,或使用來自身分來源的AWS 服務憑證存取Directory Service的使用者。聯合身分會擔任角色,而該角色會提供臨時憑證。
若需集中化管理存取權限,建議使用AWS IAM Identity Center。如需詳細資訊,請參閱 AWS IAM Identity Center使用者指南中的什麼是 IAM Identity Center?。
IAM 使用者和群組
IAM 使用者https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的要求人類使用者使用聯合身分提供者來AWS使用臨時憑證存取 。
IAM 群組會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者的使用案例。
IAM 角色
IAM 角色https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html的身分具有特定許可權,其可以提供臨時憑證。您可以透過從使用者切換到 IAM 角色 (主控台) 或呼叫AWS CLI或AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》中的擔任角色的方法。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的快帳戶資源存取。
使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源AWS來控制AWS中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時AWS, 會評估這些政策。大多數政策會以 JSON 文件AWS形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《IAM 使用者指南》中的 JSON 政策概觀。
管理員會使用政策,透過定義哪些主體可在哪些條件下對哪些資源執行動作,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《IAM 使用者指南》中的透過客戶管理政策定義自訂 IAM 許可。
身分型政策可分為內嵌政策 (直接內嵌於單一身分) 與受管政策 (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》中的在受管政策與內嵌政策之間選擇。
資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM 角色信任政策與 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中指定主體。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的AWS受管政策。
其他政策類型
AWS支援其他政策類型,可設定更多常見政策類型授予的最大許可:
-
許可界限 — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》中的 IAM 實體許可界限。
-
服務控制政策 (SCP) — 為AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations使用者指南》中的服務控制政策。
-
資源控制政策 (RCP) — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations使用者指南》中的資源控制政策 (RCP)。
-
工作階段政策 — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《IAM 使用者指南》中的工作階段政策。
多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何AWS在涉及多個政策類型時決定是否允許請求,請參閱《IAM 使用者指南》中的政策評估邏輯。
