AWS是世界上最大的云服務(wù)提供商，它提供了很多組件供消費(fèi)者使用，其中進(jìn)行訪問控制的組件叫做IAM(Identity and Access Management)， 用來進(jìn)行身份驗(yàn)證和對(duì)AWS資源的訪問控制。 

功能

IAM的功能總結(jié)來看，主要分兩種：

• 驗(yàn)證身份(Authentication)

• 授權(quán)訪問(Authorization)

驗(yàn)證身份

驗(yàn)證身份的主要目的就是驗(yàn)證你的身份。

主要的身份實(shí)體有3種：

• 用戶(user)，實(shí)體創(chuàng)建的用戶，與用戶組的關(guān)系為多對(duì)多

• 用戶組(group)，根據(jù)一定規(guī)則分類的抽象集合，與用戶的關(guān)系為多對(duì)多

• 角色(role)，其余AWS資源，例如EC2實(shí)例、Lambda函數(shù)等

對(duì)于用戶來說，我們?cè)诳刂婆_(tái)看到的是一個(gè)用戶名，實(shí)際上在后臺(tái)，它是一串資源字符串：

arn:aws:iam::account-ID-without-hyphens:user/User-name

確認(rèn)方式有以下幾種：

1. AWS管理控制臺(tái)，使用username/password方式進(jìn)行認(rèn)證

2. AWS命令行工具，使用Access Key/Secret Key進(jìn)行認(rèn)證

3. AWS產(chǎn)品開發(fā)包(SDK)，使用Access Key/Secret Key進(jìn)行認(rèn)證

4. Restful API，使用Access Key/Secret Key進(jìn)行認(rèn)證

設(shè)定權(quán)限

對(duì)于AWS來說，這部分是通過Policy來實(shí)現(xiàn)的。

Policy規(guī)定了被認(rèn)證的實(shí)體可以訪問什么權(quán)限，怎樣訪問權(quán)限的問題，主要由Statement來完成。而Statement是使用json格式來填寫的。

針對(duì)不同的層級(jí)，我們將Policy分為兩種：

1. 針對(duì)已認(rèn)證用戶的層級(jí)，我們稱為“Identified-Based Policy”

2. 針對(duì)資源層級(jí)，我們稱為“Resource-Based Policy”