---
title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
type: source
tags:
  - AWS
  - IAM
  - Security
  - CTP
  - Identity
  - Federation
date: 2026-04-14
---

## Source File
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]

## Summary（用中文描述）
- 核心主题：AWS IAM 的核心组件（用户、组、角色、策略）及其在联邦访问中的应用
- 问题域：企业 AWS Landing Zone 中的身份认证与访问授权管理
- 方法/机制：联邦用户通过 Active Directory 组映射到 IAM 角色；PFSSO 工具实现 CLI 联邦访问；最小权限原则指导策略定义
- 结论/价值：IAM 用户主要用于服务账号，人工用户应通过联邦机制管理；角色是串联身份与权限的核心纽带

## Key Claims（用中文描述）
- Active Directory 组通过角色映射为联邦用户提供 Landing Zone 账号访问权限
- 角色本身不启用操作，而是将"谁可以做什么"与"可以做什么"关联起来
- IAM 用户主要用于服务账号，人工用户应优先使用联邦访问
- 策略应遵循最小权限原则，只授予严格必要的权限
- VSM 请求是通过联邦获取账号访问的必经流程
- 支持跨账号角色假设，允许指定账户的主体担任特定角色
- Terraform 模块可用于定义 IAM 角色，包括假设角色策略和内联策略块

## Key Quotes
> "Roles don't enable actions; they tie together who can do something and what they can do." — 角色是连接身份与权限的纽带，而非直接启用操作的实体
> "We only want to allow the access that is strictly required." — 最小权限原则
> "IAM users are primarily for service accounts; federation is the preferred method for user management." — 联邦优先于 IAM 用户管理

## Key Concepts
- [[IAM（身份和访问管理）]]：AWS 服务，用于管理用户身份、组、角色和策略，控制对 AWS 资源的访问
- [[Federation（联邦身份）]]：通过 Active Directory 组映射到 IAM 角色，实现单点登录访问 AWS
- [[Least Privilege（最小权限）]]：只授予用户完成工作所需的最小权限的安全原则
- [[IAM Role（IAM 角色）]]：一种 IAM 身份，具有特定权限，可由用户、服务或外部实体担任
- [[IAM Policy（IAM 策略）]]：定义权限的 JSON 文档，指定允许或拒绝的操作及资源
- [[Managed Policy vs Inline Policy]]：托管策略可在多个角色间复用，内联策略绑定到特定角色
- [[Cross-Account Role Assumption]]：跨账号角色假设，允许指定账户的主体担任目标账户的角色
- [[PFSSO]]：用于通过联邦身份实现 AWS CLI 访问的工具

## Key Entities
- [[AWS]]：Amazon Web Services，云服务提供商，IAM 为其原生身份访问管理服务
- [[Active Directory（AD）]]：微软目录服务，用于管理用户身份和组，通过联邦机制与 IAM 集成
- [[accounts.json]]：位于每个 Landing Zone 根目录的文件，包含账户号列表
- [[VSM]]：Virtual SMACKS 系统，通过联邦请求获取账号访问权限

## Connections
- [[ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]] ← related_to ← [[IAM（身份和访问管理）]]
- [[learning-sessions-identity-governance-vsm-replacement]] ← related_to ← [[Federation（联邦身份）]]
- [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]] ← related_to ← [[Federation（联邦身份）]]
- [[AWS-Landing-Zone]] ← depends_on ← [[IAM（身份和访问管理）]]
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← related_to ← [[Least Privilege（最小权限）]]

## Contradictions
- 无已知内容冲突