AWS IAM(Identity and Access Management)常用的項目分為四個部分:
在AWS console端(也就是登入AWS網頁後進入各個Service的畫面),Group的部份可以加入User與限定這個Group要使用的Policy;User的部分可以自定義虛擬的操作者名稱,通常是定義可以讓一些Library、App登入的「非人類帳號」。Role的部份則是常用在一個公司或群體要協同開發(例如Dropbox公司的開發者)軟體,公司管理員自己定義每個Role與之關連的「AWS人類帳號」(通常是RD),概念相同於管理員授權角色A可以使用管理員名下的資源,至於角色A能夠實際操作Service與Resource的範圍,將由Policy規範。Policy部分,則是可以分開用在定義Group、User、Role能夠使用AWS的哪些Service、Service底下的Resource(例如EC2 Service底下的某一個instance)與相關操作權限。
IAM還有Identity Provider、Account setting、Credential Report和Encryption report,下次有空再介紹。