????????IAM是AWS架構(gòu)中對(duì)哪些用戶能夠?qū)δ男┵Y源進(jìn)行訪問這一部分的控制。也就是當(dāng)用戶對(duì)AWS內(nèi)資源進(jìn)行訪問時(shí)，IAM可以對(duì)用戶的權(quán)限進(jìn)行限制，通過IAM來控制哪些人可以使用AWS內(nèi)的資源。在AWS中有區(qū)域和可用區(qū)的概念，而IAM不受區(qū)域的限制，在IAM內(nèi)生成的用戶，策略，角色等可以在任何區(qū)域內(nèi)使用。

? ? ? ? 當(dāng)注冊(cè)AWS賬號(hào)（根用戶）之后，賬號(hào)的持有者會(huì)自動(dòng)地被賦予訪問所有AWS服務(wù)的權(quán)限。根用戶可以在AWS中生成很多IAM用戶，默認(rèn)情況下，新生成的IAM用戶沒有任何訪問AWS服務(wù)的權(quán)限，想要IAM用戶訪問某個(gè)AWS服務(wù)，必須對(duì)其賦予相應(yīng)的權(quán)限，出于安全性的考慮，對(duì)IAM用戶賦予權(quán)限的時(shí)候應(yīng)遵守最小權(quán)限的原則。比如說，某個(gè)公司的老板擁有根用戶，然后他的某位員工只需要訪問S3中保存的數(shù)據(jù)，那么應(yīng)該給這個(gè)員工最小的權(quán)限，也就是S3內(nèi)對(duì)象的只讀權(quán)限即可，除此之外的EC2或者RDS相關(guān)權(quán)限一概不賦予。

? ? ? ? 當(dāng)使用擁有訪問權(quán)限的IAM用戶時(shí)，可以對(duì)某些AWS服務(wù)進(jìn)行訪問，比如對(duì)EC2實(shí)例進(jìn)行訪問的時(shí)候，為了獲得訪問權(quán)限，可以將IAM用戶的密鑰存放在EC2實(shí)例上，但是非常不推薦這種做法。

????????對(duì)根賬戶或者IAM用戶都可以激活MFA，MFA是多重驗(yàn)證的意思，一旦對(duì)根賬戶或者IAM用戶激活MAF之后，當(dāng)用戶登錄AWS后臺(tái)的時(shí)候，不僅僅需要用戶名和密碼，另外還需要一個(gè)隨機(jī)生成的六位數(shù)字驗(yàn)證碼。這個(gè)驗(yàn)證碼是每5秒變化一次的，所以能盡可能地保證賬戶的安全性。激活的方法也很簡單，只需要使用智能手機(jī)下載Google或者Authy的身份驗(yàn)證器，然后利用這個(gè)身份驗(yàn)證的應(yīng)用掃描一下二維碼（在激活MFA步驟中）即可進(jìn)行認(rèn)證綁定。

????????當(dāng)需要利用AWS管理控制臺(tái)對(duì)AWS進(jìn)行管理的時(shí)候，盡可能使用IAM用戶，而非根用戶，可以對(duì)這個(gè)IAM用戶賦予管理者權(quán)限。在生成IAM用戶的時(shí)候可以選擇訪問類型，類型中分編程訪問和AWS管理控制臺(tái)訪問。編程訪問即當(dāng)利用AWS的開發(fā)包進(jìn)行開發(fā)，并且需要訪問其他AWS服務(wù)的時(shí)候，需要使用當(dāng)前的IAM用戶的訪問密鑰和私有訪問密鑰來進(jìn)行認(rèn)證。而管理控制臺(tái)訪問就是一般的登陸到AWS管理后臺(tái)對(duì)AWS進(jìn)行管理的訪問。當(dāng)對(duì)IAM用戶生成訪問密鑰和私有訪問密鑰的時(shí)侯，AWS提供用戶下載這兩個(gè)密鑰的信息，但為了安全性，私有訪問密鑰的信息只顯示這一次，如果忘記某個(gè)IAM用戶的密鑰的時(shí)候，只能對(duì)它重新生成新的密鑰，同樣新生成的私有訪問密鑰只顯示一次，而每個(gè)IAM用戶只有創(chuàng)建兩個(gè)訪問密鑰的權(quán)限。

????????IAM用戶組，當(dāng)有很多用戶需要管理，并且這些用戶的權(quán)限都大致相同時(shí)，為了方便管理，可以生成用戶組來管理用戶，賦予權(quán)限時(shí)可以將IAM策略直接賦予給用戶組，這樣同樣的權(quán)限同時(shí)會(huì)賦予到用戶組中的所有用戶上。

????????對(duì)IAM用戶還可以應(yīng)用密碼策略，也就是當(dāng)對(duì)這些IAM用戶生成密碼的時(shí)候，我們自己可以指定密碼應(yīng)該滿足什么樣的條件，比如說密碼至少要8位，其中至少有英文字母等。當(dāng)利用IAM用戶登錄到AWS后臺(tái)的時(shí)候需要利用AWS為IAM用戶生成的登陸鏈接。

????????一個(gè)IAM用戶可以擁有多個(gè)IAM策略，IAM策略在別的篇章里介紹。