Разрешения позволяют определять и контролировать доступ к сервисам и ресурсам AWS. Чтобы предоставить разрешения ролям IAM, можно назначить правило, которое будет определять тип доступа, действия, которые могут быть выполнены, а также ресурсы, на которых могут выполняться определенные действия.
Используя политики IAM, вы предоставляете доступ к определенным API сервисов и ресурсам AWS. Вы также можете определить конкретные условия для предоставления доступа, например определенная организация AWS или использование определенного сервиса AWS.
С помощью ролей IAM вы можете выдавать доступы пользователям и сервисам AWS для работы в пределах аккаунта AWS. Пользователи вашего поставщика удостоверений или сервисов AWS могут взять на себя роль, чтобы получить временные безопасные учетные данные для отправки запроса AWS в аккаунте роли IAM. Следовательно, благодаря ролям IAM можно использовать краткосрочные учетные данные для пользователей, рабочих нагрузок и сервисов AWS, которым необходимо выполнять действия в ваших аккаунтах AWS.
IAM Roles Anywhere позволяет рабочим нагрузкам вне AWS, например локальным, гибридным и мультиоблачным средам, получать доступ к ресурсам AWS с помощью цифровых сертификатов X.509, выданных зарегистрированными вами центрами сертификации. С помощью IAM Roles Anywhere вы можете получить временные учетные данные AWS и использовать для доступа к ресурсам AWS те же роли и политики IAM, которые настроили для своих рабочих нагрузок AWS.
Внедрение принципа наименьших привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере возникновения требований. IAM Access Analyzer помогает оптимизировать настройку, проверку и уточнение разрешений.
Благодаря Организациям AWS вы можете использовать политики управления сервисами (SCP) для установления ограничений разрешений, которым будут соответствовать все пользователи и роли IAM в аккаунтах организации. Независимо от того, начинаете ли вы работать с политиками управления сервисами (SCP) или они у вас уже есть, можно использовать анализ доступа IAM для того, чтобы уверенно ограничивать разрешения в организации AWS.
Управление доступом на основе атрибутов (ABAC) – это стратегия авторизации, которую можно использовать для создания детализированных разрешений на базе пользовательских атрибутов, таких как отдел, рабочая роль и название команды. С помощью ABAC можно сократить количество разрешений, необходимых для точного управления аккаунтом AWS.
Централизованно управляйте доступом на корневом уровне в отношении учетных записей участников в организациях AWS, что позволит легко контролировать учетные данные корневого уровня, а также выполнять задачи с высшим уровнем привилегий.