---
title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
type: source
tags: [AWS, IAM, Security, CTP, cloud-learning]
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]

## Summary
- 核心主题：AWS IAM 用户、组、角色和策略的管理，以及通过 CLI 和联合访问 AWS 的方式
- 问题域：Landing Zone 账号访问控制、联邦认证、权限管理
- 方法/机制：IAM 用户（服务账号）、联合访问（AD 组映射角色）、角色与策略、Terraform 模块定义
- 结论/价值：联邦访问是用户管理的首选方式，角色和策略是权限管理的核心，遵循最小权限原则

## Key Claims
- 联合访问是用户管理的首选方法，IAM 用户仅用于服务账号
- 角色不执行操作，而是将"谁"和"能做什么"关联在一起
- 策略定义允许或拒绝的具体操作和资源
- 最小权限原则是 IAM 策略设计的核心指导原则

## Key Quotes
> "Roles don't enable actions; they tie together who can do something and what they can do." — IAM 角色核心概念

> "We only want to allow the access that is strictly required." — 最小权限原则

> "Federated users log in via their organization's AD, which maps to an IAM role." — 联合访问流程

## Key Concepts
- [[IAM]]: AWS 身份和访问管理服务
- [[IAM-用户]]: IAM 身份，主要用于服务账号而非人员
- [[IAM-组]]: IAM 组的概念在联合用户管理中较少使用
- [[IAM-角色]]: 将主体与权限关联的 IAM 身份，可由服务或用户 assum
- [[IAM-策略]]: 定义允许或拒绝操作的文档
- [[联合访问]]: 通过 AD 组映射 IAM 角色的用户访问方式
- [[PFSSO]]: 命令行联合访问工具
- [[最小权限原则]]: 只授予完成任务所需的最小权限
- [[内联策略]]: 绑定到特定角色的策略，可重用
- [[托管策略]]: 可跨角色重用的 AWS 管理策略
- [[Landing-Zone]]: AWS 多账号架构的基础环境
- [[accounts-json]]: Landing Zone 根目录下的账号列表文件

## Key Entities
- [[AWS]]: 全球最大公有云平台，提供 IAM 服务
- [[Active-Directory]]: Microsoft 目录服务，用于联合用户身份验证
- [[Gruntwork]]: Landing Zone 框架提供商

## Connections
- [[AD]] ← maps_to_role ← [[IAM-角色]]
- [[IAM-角色]] ← contains ← [[IAM-策略]]
- [[联合访问]] ← requires ← [[PFSSO]]
- [[Landing-Zone]] ← has ← [[accounts-json]]

## Contradictions
- （暂无记录）