IAM全称是Identity and Access Management,身份和访问管理,是一套用于登录验证和管理的框架,
可用于单点登录、多因素身份验证、基于策略的集中式授权和审计、动态授权等场景。
从管理对象来看,
在AWS上,identity和principal是等价的,都是指代可以对资源进行操作的发起方,主要有:
当用户已经有了一个用户身份,比如域账号或者Okta,可以不用单独为这个用户在AWS中创建user和配置policy,我们可以直接通过用户的域账号身份去访问AWS的资源。但这个需要有IDP的参与,也就是Identity provider。这样不仅省去对新账号的管理,也减少创建账号的时间消耗。
以域账号为例,此时IDP即为ADFS,用户通过域账号认证身份后,ADFS会按照SAML 2.0规范生成身份验证信息,发给Server Provider(服务提供商),从而实现联合验证,此时该用户就是一个federated user
对AWS资源操作的请求包含三部分,
AWS通过策略(Policy)来定义主体权限(Permissions),最基本的策略有两大类,
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态