【AWS】从 0 基础直觉性地理解 IAM(Identity and Access Management)
🌳 IAM 本质是什么?(用比喻理解)
你可以把 AWS 想象成一个云上的大公司大工厂,里面有很多门(服务),很多房间(资源),很多工具(功能)。
IAM 就像这家公司的门禁系统 + 安保系统 + 员工权限管理系统。
- 有些人可以进 A 楼但不能进 B 楼;
- 有些人可以用电锯(删除资源),有些人只能扫地(查看);
- 有些人是老板(root 用户),可以为所欲为。
🧑💼 IAM 中的角色和概念
| 术语 | 类比 | 说明 |
|---|---|---|
| Root 用户 | 公司老板 | 注册 AWS 时创建的第一个账户,权限最大,能干任何事 |
| IAM 用户 | 普通员工 | 为了日常操作而创建的用户,有受限权限 |
| IAM 组 | 员工部门 | 可以把用户分组并统一分配权限 |
| IAM 角色 | 临时工或访客卡 | 某些任务临时借用权限(如某个 EC2 需要访问 S3) |
| Policy(策略) | 员工手册 | 规定了“谁可以干什么事” |
📜 IAM 策略(Policy)结构:就是一份 JSON 文件,控制权限
{"Version": "2012-10-17","Statement": [{"Effect": "Allow", // or "Deny""Action": "s3:PutObject","Resource": "arn:aws:s3:::my-bucket/*"}]
}
- Effect: Allow or Deny,是否允许动作
- Action: 要执行的 AWS 动作,比如创建 EC2、上传文件到 S3
- Resource: 哪些资源受限,比如哪个桶、哪个实例
🛡️ 为什么不能用 Root 用户做日常操作?
想象你是老板(root),你每天都亲自去清洁厕所、签快递、调灯泡,不仅效率低,而且:
- 任何人要是拿到你的钥匙,整个公司直接完蛋(权限太大);
- 没法追责谁干了坏事,因为都是用老板账户;
- 也没法细分权限(只能全有或全无);
📌 小结
| 知识点 | 类比记忆 |
|---|---|
| Root 用户 | 老板,权力大但不能乱动 |
| IAM 用户 | 员工,需要发权限才干得动活 |
| Policy 策略 | 员工手册,规定谁能干啥 |
| Action | 行为,比如“创建 S3 桶” |
| Resource | 针对的资源,比如某个 S3 桶 |
| Effect | 允许还是禁止 |
| MFA | 进公司不止要刷卡,还要脸识别 |