56 lines
2.5 KiB
Markdown
56 lines
2.5 KiB
Markdown
---
|
||
title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
|
||
type: source
|
||
tags: [AWS, IAM, Security, CTP, cloud-learning]
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]
|
||
|
||
## Summary
|
||
- 核心主题:AWS IAM 用户、组、角色和策略的管理,以及通过 CLI 和联合访问 AWS 的方式
|
||
- 问题域:Landing Zone 账号访问控制、联邦认证、权限管理
|
||
- 方法/机制:IAM 用户(服务账号)、联合访问(AD 组映射角色)、角色与策略、Terraform 模块定义
|
||
- 结论/价值:联邦访问是用户管理的首选方式,角色和策略是权限管理的核心,遵循最小权限原则
|
||
|
||
## Key Claims
|
||
- 联合访问是用户管理的首选方法,IAM 用户仅用于服务账号
|
||
- 角色不执行操作,而是将"谁"和"能做什么"关联在一起
|
||
- 策略定义允许或拒绝的具体操作和资源
|
||
- 最小权限原则是 IAM 策略设计的核心指导原则
|
||
|
||
## Key Quotes
|
||
> "Roles don't enable actions; they tie together who can do something and what they can do." — IAM 角色核心概念
|
||
|
||
> "We only want to allow the access that is strictly required." — 最小权限原则
|
||
|
||
> "Federated users log in via their organization's AD, which maps to an IAM role." — 联合访问流程
|
||
|
||
## Key Concepts
|
||
- [[IAM]]: AWS 身份和访问管理服务
|
||
- [[IAM-用户]]: IAM 身份,主要用于服务账号而非人员
|
||
- [[IAM-组]]: IAM 组的概念在联合用户管理中较少使用
|
||
- [[IAM-角色]]: 将主体与权限关联的 IAM 身份,可由服务或用户 assum
|
||
- [[IAM-策略]]: 定义允许或拒绝操作的文档
|
||
- [[联合访问]]: 通过 AD 组映射 IAM 角色的用户访问方式
|
||
- [[PFSSO]]: 命令行联合访问工具
|
||
- [[最小权限原则]]: 只授予完成任务所需的最小权限
|
||
- [[内联策略]]: 绑定到特定角色的策略,可重用
|
||
- [[托管策略]]: 可跨角色重用的 AWS 管理策略
|
||
- [[Landing-Zone]]: AWS 多账号架构的基础环境
|
||
- [[accounts-json]]: Landing Zone 根目录下的账号列表文件
|
||
|
||
## Key Entities
|
||
- [[AWS]]: 全球最大公有云平台,提供 IAM 服务
|
||
- [[Active-Directory]]: Microsoft 目录服务,用于联合用户身份验证
|
||
- [[Gruntwork]]: Landing Zone 框架提供商
|
||
|
||
## Connections
|
||
- [[AD]] ← maps_to_role ← [[IAM-角色]]
|
||
- [[IAM-角色]] ← contains ← [[IAM-策略]]
|
||
- [[联合访问]] ← requires ← [[PFSSO]]
|
||
- [[Landing-Zone]] ← has ← [[accounts-json]]
|
||
|
||
## Contradictions
|
||
- (暂无记录) |