nexus/wiki/sources/ctp-topic-5-aws-identity-and-access-management-iam.md

title, type, tags, date

title	type	tags	date
CTP Topic 5 - AWS Identity and Access Management (IAM)	source	AWS IAM Security CTP Identity Federation	2026-04-14

Source File

• raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md

Summary（用中文描述）

• 核心主题：AWS IAM 的核心组件（用户、组、角色、策略）及其在联邦访问中的应用
• 问题域：企业 AWS Landing Zone 中的身份认证与访问授权管理
• 方法/机制：联邦用户通过 Active Directory 组映射到 IAM 角色；PFSSO 工具实现 CLI 联邦访问；最小权限原则指导策略定义
• 结论/价值：IAM 用户主要用于服务账号，人工用户应通过联邦机制管理；角色是串联身份与权限的核心纽带

Key Claims（用中文描述）

• Active Directory 组通过角色映射为联邦用户提供 Landing Zone 账号访问权限
• 角色本身不启用操作，而是将"谁可以做什么"与"可以做什么"关联起来
• IAM 用户主要用于服务账号，人工用户应优先使用联邦访问
• 策略应遵循最小权限原则，只授予严格必要的权限
• VSM 请求是通过联邦获取账号访问的必经流程
• 支持跨账号角色假设，允许指定账户的主体担任特定角色
• Terraform 模块可用于定义 IAM 角色，包括假设角色策略和内联策略块

Key Quotes

"Roles don't enable actions; they tie together who can do something and what they can do." — 角色是连接身份与权限的纽带，而非直接启用操作的实体 "We only want to allow the access that is strictly required." — 最小权限原则 "IAM users are primarily for service accounts; federation is the preferred method for user management." — 联邦优先于 IAM 用户管理

Key Concepts

• IAM（身份和访问管理）：AWS 服务，用于管理用户身份、组、角色和策略，控制对 AWS 资源的访问
• Federation（联邦身份）：通过 Active Directory 组映射到 IAM 角色，实现单点登录访问 AWS
• Least Privilege（最小权限）：只授予用户完成工作所需的最小权限的安全原则
• IAM Role（IAM 角色）：一种 IAM 身份，具有特定权限，可由用户、服务或外部实体担任
• IAM Policy（IAM 策略）：定义权限的 JSON 文档，指定允许或拒绝的操作及资源
• Managed Policy vs Inline Policy：托管策略可在多个角色间复用，内联策略绑定到特定角色
• Cross-Account Role Assumption：跨账号角色假设，允许指定账户的主体担任目标账户的角色
• PFSSO：用于通过联邦身份实现 AWS CLI 访问的工具

Key Entities

• AWS：Amazon Web Services，云服务提供商，IAM 为其原生身份访问管理服务
• Active Directory（AD）：微软目录服务，用于管理用户身份和组，通过联邦机制与 IAM 集成
• accounts.json：位于每个 Landing Zone 根目录的文件，包含账户号列表
• VSM：Virtual SMACKS 系统，通过联邦请求获取账号访问权限

Connections

• ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs ← related_to ← IAM（身份和访问管理）
• learning-sessions-identity-governance-vsm-replacement ← related_to ← Federation（联邦身份）
• ctp-topic-11-ad-integration-and-login-using-ad-accounts ← related_to ← Federation（联邦身份）
• AWS-Landing-Zone ← depends_on ← IAM（身份和访问管理）
• ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security ← related_to ← Least Privilege（最小权限）

Contradictions

• 无已知内容冲突