IAM常用术语

Understanding how IAM works

IAM 是一个可以帮助你安全管理访问Amazon资源的web服务。通过 IAM，你可以集中管理，who谁（登录时鉴权）被授权可以在什么条件下（condition）对什么Amazon资源（resource）做什么操作（action）。

术语

想要了解什么是IAM，需要先学习几个AWS IAM所使用的术语。

IAM Resources

user, group, role, policy, 以及 identity provider(IdP) 这些IAM的对象都是IAM resources. 与其他 Amazon 服务一样，您可以在 IAM 中添加、编辑和删除资源。

IAM Identities

用于标识和分组的 IAM 资源对象。您可以将policy附加到 IAM 身份。其中包括user、group和role.

IAM Entities

Amazon用来做身份鉴别的IAM资源对象。包括了IAM users和roles。

Principals

Principal是可以对Amazon资源发出操作请求的human users或者workload。身份验证后，可以向principals授予永久或者临时权限。IAM user和root use使用的是永久权限，role给予的是临时权限。从最佳实践的角度，我们建议您要求human users和workload都使用的是临时权限-role。

Human users

也称为真人身份，人，管理者，开发，运营和使用你的应用的消费者。

Workload

一组资源和代码用于实现业务价值，比如应用或后台进程。可以包括应用，运营工具或者组件。

Root user

您创建亚马逊云科技账户的时候会有一个根用户身份，也就是root user用于登录Amazon，您的email和密码也称为您的根用户凭证。

IAM Users

您可以创建user，并给他们授予权限来访问Amazon的资源。但是并不建议给真人用户user，应该使用单点登录里的临时凭据。IAM users的主要用途是使无法使用IAM roles的workload能够使用API或者CLI向Amazon服务发出编程请求。

IAM roles

与传统身份管理系统中所说的角色不同， IAM roles指具有特定权限的身份，它类似于IAM user，但是不与特定人员关联，您可以通过切换角色从Amazon控制台中临时代入IAM roles。也可以通过调用Amazon CLI或Amazon API操作来代入角色。关于角色的更多信息，请参阅 IAM Role 用户指南。