2.5 KiB
2.5 KiB
title, type, tags, date
| title | type | tags | date | |||||
|---|---|---|---|---|---|---|---|---|
| CTP Topic 5 - AWS Identity and Access Management (IAM) | source |
|
2026-04-14 |
Source File
Summary
- 核心主题:AWS IAM 用户、组、角色和策略的管理,以及通过 CLI 和联合访问 AWS 的方式
- 问题域:Landing Zone 账号访问控制、联邦认证、权限管理
- 方法/机制:IAM 用户(服务账号)、联合访问(AD 组映射角色)、角色与策略、Terraform 模块定义
- 结论/价值:联邦访问是用户管理的首选方式,角色和策略是权限管理的核心,遵循最小权限原则
Key Claims
- 联合访问是用户管理的首选方法,IAM 用户仅用于服务账号
- 角色不执行操作,而是将"谁"和"能做什么"关联在一起
- 策略定义允许或拒绝的具体操作和资源
- 最小权限原则是 IAM 策略设计的核心指导原则
Key Quotes
"Roles don't enable actions; they tie together who can do something and what they can do." — IAM 角色核心概念
"We only want to allow the access that is strictly required." — 最小权限原则
"Federated users log in via their organization's AD, which maps to an IAM role." — 联合访问流程
Key Concepts
- IAM: AWS 身份和访问管理服务
- IAM-用户: IAM 身份,主要用于服务账号而非人员
- IAM-组: IAM 组的概念在联合用户管理中较少使用
- IAM-角色: 将主体与权限关联的 IAM 身份,可由服务或用户 assum
- IAM-策略: 定义允许或拒绝操作的文档
- 联合访问: 通过 AD 组映射 IAM 角色的用户访问方式
- PFSSO: 命令行联合访问工具
- 最小权限原则: 只授予完成任务所需的最小权限
- 内联策略: 绑定到特定角色的策略,可重用
- 托管策略: 可跨角色重用的 AWS 管理策略
- Landing-Zone: AWS 多账号架构的基础环境
- accounts-json: Landing Zone 根目录下的账号列表文件
Key Entities
- AWS: 全球最大公有云平台,提供 IAM 服务
- Active-Directory: Microsoft 目录服务,用于联合用户身份验证
- Gruntwork: Landing Zone 框架提供商
Connections
- AD ← maps_to_role ← IAM-角色
- IAM-角色 ← contains ← IAM-策略
- 联合访问 ← requires ← PFSSO
- Landing-Zone ← has ← accounts-json
Contradictions
- (暂无记录)