Day 02-资源管理大师IAM

AWS Certified Solution Architect Associate之旅的第一站，我们首先来看看IAM服务。

1. 为何要使用IAM:

IAM是Identity and Access Management缩写，提供我们使用者一套更具备安全性和弹性的云端资源控管机制。我们可以按照任务所需，去指派所需要的云端资源取得权限和方式，而不必去使用Root Account。这边Root Account是指我们第一次使用AWS云端服务时所开的帐号，此帐号拥有最高的权限，能取得任何AWS上的云端资源和服务。因此，若使用Root Account去做仅需要部份云端资源的服务时，我们会面临到其他服务被意外窃取的高额机会成本。

2. IAM的运作机制 - 阶层式的结构:

这边透过下面的表格说明IAM的整体架构(因为考照是英文出题，以下会尽量以英文去标示关键字词。)首先，Policy让我们可以定义多少资源，需要释放给特定任务做使用。Policy定义完後，将指派给IAM Group下的User或者是Role，让IAM Group下的User或者Role可以按照这个Policy，去享有特定的云端资源服务。至於IAM Group User和Role差别，IAM Group User可以看做我们要提供多少AWS云端服务，给其他系统开发者，也就是从人的角度去看；而IAM Role的话，则是让我们内部本身的AWS云端资源，可以相互取得串通，也就是从云端资源角度去看，例如某台云端机器可以享有其他的云端储存资源。

2.1 Policy的编写

我们编写IAM Policy时，须留意到Policy是在JSON格式中，由effect, principal, condition, action 以及 resource组成。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

• 编写Policies时，可以参考Visual Editor编写工具。
• Policy参考工具: Policy Simulator
• Policy编写原则: Least Privilege仅提供使用者所需的云端资源或服务。

2.2 IAM 特点

IAM有以下几项特点:

通用与弹性

• IAM is Universal: IAM服务不受分区限制。云端服务通常会分区来去提供，例如选用在新加坡的机器，但IAM这是属於不分区的云端服务。
• Centralized Control: 中央控管机制，权限控管与调整，由中央统一作调控。
• Shared Access: 共享机制，让同一套服务可以让多个相同权限使用者使用。
• Granular Permission: Policy的订定可以非常细微，让我们可以依照任务所需，定义真的需要提供出来的权限，来应对各式各样的商业环境需求。
• Integrate AWS Services: 让不同的AWS服务资源可以相互按照所需串接。

安全

• Multifactor Authentication: 可以触发多重认证机制，让服务的启用更具保障。
• Password Rotation Policy: 强制规定每隔一段时间就要更改密码的限制。

此短片让大家可以从不同角度再去看一次IAM。