許可可讓您指定和控制 AWS 服務和資源的存取權。若要授予 IAM 角色許可,可以連接政策以指定存取類型、可執行的動作,以及可對其執行動作的資源。
使用 IAM 政策,您即授予特定 AWS 服務 API 和資源的存取權。您也可以定義授予存取權的特定條件,例如授予從特定 AWS 組織存取身分的權限或透過特定 AWS 服務存取。
藉由 IAM 角色,您委派使用者或 AWS 服務存取權,以在您的 AWS 帳戶內操作。來自您的身份提供商或 AWS 服務的使用者可以擔任角色,以取得臨時安全憑證,這些憑證可用於在 IAM 角色的帳戶中發出 AWS 請求。因此,IAM 角色為需要在您的 AWS 帳戶中執行動作的使用者、工作負載和 AWS 服務提供一種依賴短期憑證的方法。
使用 IAM Roles Anywhere,讓在 AWS 以外 (例如內部部署、混合式和多雲端環境) 執行的工作負載能使用您的註冊憑證授權單位簽發的 X.509 數位憑證存取 AWS 資源。藉助 IAM Roles Anywhere,您可以取得臨時 AWS 憑證,並使用您為 AWS 工作負載設定的相同 IAM 角色和策略來存取 AWS 資源。
實現最低權限是一個連續的週期,隨著您需求的發展授予正確的精密許可。 IAM Access Analyzer 可協助您在設定、驗證和精簡許可時,精簡許可管理。
藉由 AWS Organizations,您可以使用服務控制政策 (SCP) 建立組織帳戶中所有 IAM 使用者角色遵循的許可防護機制。無論您是剛開始使用 SCP 還是擁有現有的 SCP,都可以使用 IAM 存取分析,來協助您在整個 AWS 組織中自信地限制許可。
基於屬性的存取控制 (ABAC) 是一種授權策略,可用於根據使用者屬性 (例如部門、任務角色和團隊名稱) 建立更精細的許可。使用 ABAC,您可以減少在 AWS 帳戶中建立更精細的控制所需的不同許可的數量。
集中管理 AWS Organizations 中成員帳戶的根存取權,讓您能夠輕鬆管理根憑證,以及執行需要高權限的任務。