AWS IAM探究

IAM简介

IAM（Identity and Access Management 的缩写），即“身份识别与访问管理”，具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

关键功能

单点登录 (SSO)

通过对跨多种不同Web 应用程序、门户和安全域的无缝访问允许单点登录，还支持对企业应用程序（例如，SAP、Siebel、PeopleSoft 以及Oracle应用程序）的无缝访问。

强大的认证管理

提供了统一的认证策略，确保Internet 和局域网应用程序中的安全级别都正确。 这确保高安全级别的应用程序可受到更强的认证方法保护，而低安全级别应用程序可以只用较简单的用户名/密码方法保护。 为许多认证系统（包括密码、令牌、X.509 证书、智能卡、定制表单和生物识别）及多种认证方法组合提供了访问管理支持。

基于策略的集中式授权和审计

将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。 因此，不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制，并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外，受控制的“模拟”（在此情形中，诸如客户服务代表的某个授权用户，可以访问其他用户可以访问的资源）也由策略定义。

动态授权

从不同本地或外部源（包括Web服务和数据库）实时触发评估数据的安全策略，从而确定进行访问授权或拒绝访问。通过环境相关的评估，可获得更加细化的授权。例如，限制满足特定条件（最小帐户余额）的客户对特定应用程序（特定银行服务）的访问权。授权策略还可以与外部系统（例如，基于风险的安全系统）结合应用。

企业可管理性

提供了企业级系统管理工具，使安全人员可以更有效地监控、管理和维护多种环境（包括管理开发、测试和生产环境）。

AWS-IAM实践

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}