IAM 使用总结

IAM 是AWS的身份认证管理服务，它为亚马逊服务的安全性提供了保证。大部分的AWS服务都集成了IAM服务的集成。IAM 通过灵活的策略配置非常精确地控制了用户对AWS服务的请求访问。

用户分类

IAM 的用户可以分为三大类：root 用户、IAM 用户以及角色。

Root credentials necessary

• 修改根用户信息，包括密码
• 修改 AWS 支持计划
• 关闭 AWS 账户
• 注册 GovGloud
• 为EC2请求提交一个预留DNS
• 创建一个 CloudFront 密钥对
• 使用 AWS 创建一个 X.509 签名认证
• 转移一个 Route53 域到其他 AWS 账号
• 修改EC2设置为长资源ID
• 提交一个在 AWS 架构上执行渗透测试的请求
• 移除 EC2 上25 邮件端口上的节流设置
• 查找 AWS 账号的规范用户ID
• 给基于资源的策略（例如 s3 bucket 策略）重新赋权限

策略分类

• AWS 托管策略
• 客户托管策略
• 内联策略

策略等级

基于用户的策略 & 基于资源的策略

操作级策略 & 资源级策略

策略语法

遇到的问题

• 配置s3某个桶的访问权限
  除了配置桶的访问权限，还要配置桶中对象的访问权限

• 配置以Role启动实例
  需要ListRole、PassRole权限

• 配置用户只能操作自己启动的实例

  • 为用户创建一个Role，配置用户只能使用Role启动新的实例。
  • 配置只有使用 Role 启动的实例，用户才能进行操作（关闭、重启、终止）