[DAY 02] IAM

IAM (Identity and Access Management)

• 对於 AWS 上的服务安全性扮演了举足轻重的角色。它管理了对於 AWS 上的服务与资源的存取。
• 在 IAM 里有几个重要的组成
  • Root user: 预设建立的帐户，不应该拿来做日常操作或使用。
  • Users: 就是组织内或公司内的成员，可以形成一些群组。
  • Groups: 只会包含 users，并不会包含其他群组。
  • 所以 user 可以不隶属某个 group，user 可以隶属於多个 group。
• Permissions 权限
  • User 和 groups 可以在 JSON 文件内指定，称之为 policies.
  • 这些 policies 就会定义 users 的权限。
  • 原则上赋予最小权限即可，不需给予多余或未使用到的权限。
  • Policies 的定义可以是有继承关系的。
• Policy 结构
  • 由 "Version", "Id" 和 "Statement" 组成。
  • 而 "Statement" 由以下项目组成：
    • Sid: 可选，statement 的识别码。
    • Principal: 用於哪个 account/user/role。
    • Effect: 描述该 statement 是允许 (Allow) 还是 Deny (拒绝) 存取。
    • Resource: 列出 action 要套用的 resource。
    • Action: 列出允许 (Allow) 或 Deny (拒绝) 的操作 (action)。
    • Condition: 可选，指定此 policy 要起作用的条件。

如何存取 AWS

• 使用者若要存取 aws，有以下方式
  • 透过 AWS management console，(需要用密码或以 MFA 登入)
  • 透过 AWS CLI (command line) 介面：以命令列方式操作，要用 access keys 获得权限操作。
  • 透过 AWS SDK: 也要用到 access keys。

IAM Role

• Role (角色)，通常不会用 user 直接操作 aws 服务，而是用 IAM role 为 aws 服务分配权限。
• AWS 提供的 IAM 安全工具
  • IAM Credentials Report
    • 是 account level
    • 可列出你的帐户下所有 user 及其 credential 状态。
  • IAM Access Advisor
    • 是 user level
    • 可显示出 user 被赋予的服务权限以及何时使用过该服务，如此可知使用者被赋予的权限是否多余。
    • 因此可以据此来调整 policies。