AWS Identity and Access Management (IAM) 使能够安全地控制用户对 AWS 服务和资源的访问。可以使用 IAM 来创建和管理亚马逊 AWS 用户和群组,并使用各种权限来允许或拒绝他们使用亚马逊 AWS 资源。
IAM 也支持公司目录和 AWS 服务之间的身份联合。这可以让使用现有公司身份授予对 Amazon S3 存储桶等亚马逊 AWS 资源的安全访问权限,而不必为那些用户创建新的亚马逊 AWS 身份。
对 AWS 账户的共享访问权限
可以向其他人员授予管理和使用 AWS 账户中的资源的权限,而不必共享的密码或访问密钥。
精细权限
可以针对不同资源向不同人员授予不同权限。例如,可以允许某些用户完全访问 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服务。对于另一些用户,可以允许仅针对某些 S3 存储桶的只读访问权限,或是仅管理某些 EC2 实例的权限,或是访问的账单信息但无法访问任何其他内容的权限。
在 Amazon EC2 上运行的应用程序针对 AWS 资源的安全访问权限
可以使用 IAM 功能安全地向 EC2 实例上运行的应用程序提供为访问其他 AWS 资源(如 S3 存储桶和 RDS 或 DynamoDB 数据库)而需要的凭证。
联合身份
可以允许已在其他位置(例如,在的企业网络中或通过 Internet 身份提供商)获得密码的用户获取对 AWS 账户的临时访问权限。
实现保证的身份信息
如果使用 AWS CloudTrail,则会收到日志记录,其中包括有关对账户中的资源进行请求的人员的信息。这些信息基于 IAM 身份。
PCI DSS 合规性
IAM 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。
最终一致性
IAM,和许多其他 AWS 服务一样,具备最终一致性。IAM 通过复制 Amazon 在全球的数据中心内多个服务器上的数据实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。不过,更改必须跨 IAM 复制,这需要时间。