【AWS】什么是AWS Identity and Access Management (IAM) 

AWS Identity and Access Management (IAM) 是一项 AWS 服务，它能帮助你安全地控制对 AWS 资源的访问。

你可以把它想象成一个“门禁系统”和“权限分配中心”，让你精确地管理谁（以及什么）可以访问你的 AWS 账户中的哪些资源，以及它们可以执行什么操作。

IAM 的重要性与最佳实践

永远不要使用根用户 (Root User) 进行日常操作： 

根用户拥有你 AWS 账户的最高权限。你应该将其凭证安全地存储起来，并仅在极少数需要根用户权限的任务时才使用。日常操作应该使用拥有所需最小权限的 IAM 用户。

实施最小权限原则 (Principle of Least Privilege)： 

仅授予用户、组或角色完成其任务所需的最小权限。不要给予过多的权限。

使用 IAM 组管理权限： 将用户组织到组中，并向组附加权限策略，而不是为每个用户单独附加策略。

使用 IAM 角色而不是长期访问密钥： 对于 AWS 服务和需要临时凭证的场景，优先使用 IAM 角色。避免在应用程序代码或 EC2 实例上硬编码长期访问密钥。

强制启用多因素身份验证 (MFA)： 为所有 IAM 用户（特别是拥有管理权限的用户）启用 MFA，以增强登录安全性。

定期轮换访问密钥： 如果必须使用访问密钥，请定期轮换它们。

定期审查权限： 定期检查你的 IAM 配置，删除不再需要的用户、组、角色或权限。使用 IAM Access Analyzer 等工具来发现潜在的外部访问问题或过度权限。

利用服务控制策略 (SCP)： 如果你使用 AWS Organizations，SCP 可以在组织或组织单位 (OU) 层面设置权限护栏，限制成员账户中 IAM 实体所能获得的最大权限。

过去考试题

Amazon Storage Service（Amazon S3）バケットへのアクセスを特定のユーザーに制限する方法としてセキュリティの観点で一番良い方法は次のどれですか？

• 公開鍵と秘密鍵のペア
• Amazon Inspector
• AWS Identity and Access Management（IAM）ポリシー
• セキュリティグループ