IAM 身份识别与访问管理(简称大4A)
IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
IAM的定义
Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
IAM是一套全面的建立和维护数字身份,并提供有效地、安全地IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。
身份和访问管理是一套业务处理流程,也是一个用于创建和维护和使用数字身份的支持基础结构。
通俗地讲:IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。
IAM 功能
IAM 为您提供以下功能:
对您账户的共享访问权限
您可以向其他人员授予管理和使用您 AWS 账户中的资源的权限,而不必共享您的密码或访问密钥。
精细权限
您可以针对不同资源向不同人员授予不同权限。
对资源的安全访问权限
您可以使用 IAM 功能安全地为 EC2 实例上运行的应用程序提供凭证。这些凭证为您的应用程序提供权限以访问其他 AWS 资源。示例包括 S3 存储桶和 DynamoDB 表。
多重验证 (MFA)
您可以向您的账户和各个用户添加双重身份验证以实现更高安全性。借助 MFA,您或您的用户不仅必须提供使用账户所需的密码或访问密钥,还必须提供来自经过特殊配置的设备的代码。
联合身份
您可以允许已在其他位置(例如,在您的企业网络中或通过 Internet 身份提供商)获得密码的用户获取对您 AWS 账户的临时访问权限。
实现保证的身份信息
如果您使用AWS CloudTrail,则会收到日志记录,其中包括有关对您账户中的资源进行请求的人员的信息。这些信息基于 IAM 身份。
PCI DSS 合规性
IAM 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅PCI DSS 第 1 级。
已与很多 AWS 服务集成
有关使用 IAM 的 AWS 服务的列表,请参阅使用 IAM 的 AWS 服务。
最终一致性
与许多其他 服务一样,IAM 具有最终一致性。
关键功能
单点登录 (SSO)
通过对跨多种不同Web 应用程序、门户和安全域的无缝访问允许单点登录,还支持对企业应用程序(例如,SAP、Siebel、PeopleSoft 以及Oracle应用程序)的无缝访问。
强大的认证管理
提供了统一的认证策略,确保Internet 和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、令牌、X.509 证书、智能卡、定制表单和生物识别)及多种认证方法组合提供了访问管理支持。
基于策略的集中式授权和审计
将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。因此,不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制,并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
动态授权
从不同本地或外部源(包括Web服务和数据库)实时触发评估数据的安全策略,从而确定进行访问授权或拒绝访问。通过环境相关的评估,可获得更加细化的授权。例如,限制满足特定条件(最小帐户余额)的客户对特定应用程序(特定银行服务)的访问权。授权策略还可以与外部系统(例如,基于风险的安全系统)结合应用。