62 lines
3.7 KiB
Markdown
62 lines
3.7 KiB
Markdown
---
|
||
title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- IAM
|
||
- Security
|
||
- CTP
|
||
- Identity
|
||
- Federation
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:AWS IAM 的核心组件(用户、组、角色、策略)及其在联邦访问中的应用
|
||
- 问题域:企业 AWS Landing Zone 中的身份认证与访问授权管理
|
||
- 方法/机制:联邦用户通过 Active Directory 组映射到 IAM 角色;PFSSO 工具实现 CLI 联邦访问;最小权限原则指导策略定义
|
||
- 结论/价值:IAM 用户主要用于服务账号,人工用户应通过联邦机制管理;角色是串联身份与权限的核心纽带
|
||
|
||
## Key Claims(用中文描述)
|
||
- Active Directory 组通过角色映射为联邦用户提供 Landing Zone 账号访问权限
|
||
- 角色本身不启用操作,而是将"谁可以做什么"与"可以做什么"关联起来
|
||
- IAM 用户主要用于服务账号,人工用户应优先使用联邦访问
|
||
- 策略应遵循最小权限原则,只授予严格必要的权限
|
||
- VSM 请求是通过联邦获取账号访问的必经流程
|
||
- 支持跨账号角色假设,允许指定账户的主体担任特定角色
|
||
- Terraform 模块可用于定义 IAM 角色,包括假设角色策略和内联策略块
|
||
|
||
## Key Quotes
|
||
> "Roles don't enable actions; they tie together who can do something and what they can do." — 角色是连接身份与权限的纽带,而非直接启用操作的实体
|
||
> "We only want to allow the access that is strictly required." — 最小权限原则
|
||
> "IAM users are primarily for service accounts; federation is the preferred method for user management." — 联邦优先于 IAM 用户管理
|
||
|
||
## Key Concepts
|
||
- [[IAM(身份和访问管理)]]:AWS 服务,用于管理用户身份、组、角色和策略,控制对 AWS 资源的访问
|
||
- [[Federation(联邦身份)]]:通过 Active Directory 组映射到 IAM 角色,实现单点登录访问 AWS
|
||
- [[Least Privilege(最小权限)]]:只授予用户完成工作所需的最小权限的安全原则
|
||
- [[IAM Role(IAM 角色)]]:一种 IAM 身份,具有特定权限,可由用户、服务或外部实体担任
|
||
- [[IAM Policy(IAM 策略)]]:定义权限的 JSON 文档,指定允许或拒绝的操作及资源
|
||
- [[Managed Policy vs Inline Policy]]:托管策略可在多个角色间复用,内联策略绑定到特定角色
|
||
- [[Cross-Account Role Assumption]]:跨账号角色假设,允许指定账户的主体担任目标账户的角色
|
||
- [[PFSSO]]:用于通过联邦身份实现 AWS CLI 访问的工具
|
||
|
||
## Key Entities
|
||
- [[AWS]]:Amazon Web Services,云服务提供商,IAM 为其原生身份访问管理服务
|
||
- [[Active Directory(AD)]]:微软目录服务,用于管理用户身份和组,通过联邦机制与 IAM 集成
|
||
- [[accounts.json]]:位于每个 Landing Zone 根目录的文件,包含账户号列表
|
||
- [[VSM]]:Virtual SMACKS 系统,通过联邦请求获取账号访问权限
|
||
|
||
## Connections
|
||
- [[ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]] ← related_to ← [[IAM(身份和访问管理)]]
|
||
- [[learning-sessions-identity-governance-vsm-replacement]] ← related_to ← [[Federation(联邦身份)]]
|
||
- [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]] ← related_to ← [[Federation(联邦身份)]]
|
||
- [[AWS-Landing-Zone]] ← depends_on ← [[IAM(身份和访问管理)]]
|
||
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← related_to ← [[Least Privilege(最小权限)]]
|
||
|
||
## Contradictions
|
||
- 无已知内容冲突
|