Auto-sync: 2026-04-19 14:51

wiki/sources/ctp-topic-5-aws-identity-and-access-management-iam.md

@@ -0,0 +1,56 @@
+---
+title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
+type: source
+tags: [AWS, IAM, Security, CTP, cloud-learning]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]
+
+## Summary
+- 核心主题：AWS IAM 用户、组、角色和策略的管理，以及通过 CLI 和联合访问 AWS 的方式
+- 问题域：Landing Zone 账号访问控制、联邦认证、权限管理
+- 方法/机制：IAM 用户（服务账号）、联合访问（AD 组映射角色）、角色与策略、Terraform 模块定义
+- 结论/价值：联邦访问是用户管理的首选方式，角色和策略是权限管理的核心，遵循最小权限原则
+
+## Key Claims
+- 联合访问是用户管理的首选方法，IAM 用户仅用于服务账号
+- 角色不执行操作，而是将"谁"和"能做什么"关联在一起
+- 策略定义允许或拒绝的具体操作和资源
+- 最小权限原则是 IAM 策略设计的核心指导原则
+
+## Key Quotes
+> "Roles don't enable actions; they tie together who can do something and what they can do." — IAM 角色核心概念
+
+> "We only want to allow the access that is strictly required." — 最小权限原则
+
+> "Federated users log in via their organization's AD, which maps to an IAM role." — 联合访问流程
+
+## Key Concepts
+- [[IAM]]: AWS 身份和访问管理服务
+- [[IAM-用户]]: IAM 身份，主要用于服务账号而非人员
+- [[IAM-组]]: IAM 组的概念在联合用户管理中较少使用
+- [[IAM-角色]]: 将主体与权限关联的 IAM 身份，可由服务或用户 assum
+- [[IAM-策略]]: 定义允许或拒绝操作的文档
+- [[联合访问]]: 通过 AD 组映射 IAM 角色的用户访问方式
+- [[PFSSO]]: 命令行联合访问工具
+- [[最小权限原则]]: 只授予完成任务所需的最小权限
+- [[内联策略]]: 绑定到特定角色的策略，可重用
+- [[托管策略]]: 可跨角色重用的 AWS 管理策略
+- [[Landing-Zone]]: AWS 多账号架构的基础环境
+- [[accounts-json]]: Landing Zone 根目录下的账号列表文件
+
+## Key Entities
+- [[AWS]]: 全球最大公有云平台，提供 IAM 服务
+- [[Active-Directory]]: Microsoft 目录服务，用于联合用户身份验证
+- [[Gruntwork]]: Landing Zone 框架提供商
+
+## Connections
+- [[AD]] ← maps_to_role ← [[IAM-角色]]
+- [[IAM-角色]] ← contains ← [[IAM-策略]]
+- [[联合访问]] ← requires ← [[PFSSO]]
+- [[Landing-Zone]] ← has ← [[accounts-json]]
+
+## Contradictions
+- （暂无记录）