Quyền cho phép bạn chỉ định và kiểm soát khả năng truy cập các tài nguyên và dịch vụ AWS. Để cấp quyền cho vai trò IAM, bạn có thể đính kèm chính sách chỉ định loại quyền truy cập, hành động có thể được thực hiện và tài nguyên có thể dùng để được thực hiện hành động.
Khi sử dụng các chính sách IAM, bạn có thể cấp quyền truy cập đến tài nguyên và API của dịch vụ AWS. Bạn cũng có thể xác định các điều kiện cụ thể về việc cấp quyền truy cập, chẳng hạn như cấp quyền truy cập cho các danh tính từ một tổ chức AWS cụ thể hoặc truy cập thông qua một dịch vụ AWS cụ thể.
Với vai trò IAM, bạn ủy quyền truy cập cho người dùng hoặc dịch vụ AWS để hoạt động trong tài khoản AWS của bạn. Người dùng từ nhà cung cấp danh tính hoặc dịch vụ AWS có thể đảm nhận một vai trò để lấy thông tin xác thực bảo mật tạm thời có thể được sử dụng nhằm thực hiện yêu cầu AWS trong tài khoản của vai trò IAM. Nhờ đó, vai trò IAM cung cấp một cách để tận dụng thông tin xác thực ngắn hạn cho người dùng, khối lượng công việc và dịch vụ AWS cần thực hiện các hành động trong tài khoản AWS của bạn.
Sử dụng IAM Roles Anywhere để cho phép các khối lượng công việc chạy bên ngoài AWS, chẳng hạn như môi trường tại chỗ, môi trường lai và môi trường đa đám mây truy cập những tài nguyên AWS bằng cách sử dụng các chứng chỉ kỹ thuật số X.509 được cấp bởi cơ quan chứng nhận bạn đã đăng ký. Với IAM Roles Anywhere, bạn có thể nhận được các thông tin chứng thực AWS tạm thời và sử dụng những vai trò và chính sách IAM tương tự mà bạn đã định cấu hình các khối lượng công việc AWS của mình để truy cập tài nguyên AWS.
Việc đảm bảo đặc quyền tối thiểu là một chu kỳ liên tục, trong đó, bạn phải cấp các quyền chi tiết phù hợp khi những yêu cầu của bạn tăng lên. Trình phân tích truy cập IAM giúp bạn hợp lý hóa việc quản lý quyền khi thiết lập, xác minh và tinh chỉnh quyền.
Với Tổ chức AWS, bạn có thể sử dụng chính sách kiểm soát dịch vụ (SCP) để thiết lập những quy tắc bảo vệ quyền mà mọi người dùng và vai trò IAM trong các tài khoản của tổ chức phải tuân thủ. Dù mới chỉ bắt đầu với SCP hay đã có sẵn SCP, bạn có thể sử dụng chức năng phân tích truy cập IAM giúp bạn dễ dàng hạn chế quyền trên khắp tổ chức AWS của mình.
Kiểm soát truy cập dựa trên thuộc tính (ABAC) là một chiến lược cấp phép bạn có thể sử dụng để thiết lập các quyền chi tiết dựa trên thuộc tính người dùng, chẳng hạn như phòng ban, vai trò công việc và tên đội ngũ. Nhờ ABAC, bạn có thể giảm số lượng các quyền riêng biệt bạn cần để thiết lập biện pháp kiểm soát chi tiết trong tài khoản AWS của mình.