Chapter 2 IAM - HackMD

--- tags: 大話AWS雲端架構 --- # Chapter 2 IAM ![](https://i.imgur.com/LdXqBH7.png) --- ### 2.1 AWS 的 root 帳號 ![](https://i.imgur.com/aWSNuXM.png) ![](https://i.imgur.com/5RvX4q2.png) --- ### 2.2 root權限太大，必須實踐多用戶權限管理 ![](https://i.imgur.com/VYmIcrg.png) --- ### 2.3 IAM服務的設計思維與核心名詞 ![](https://i.imgur.com/vGUtM6m.png) ![](https://i.imgur.com/MNO1Sf5.png) --- ### 2.4 Policy的組成要件 #### 2.4.1 允許老王考一百分的時候，吃牛肉麵 ![](https://i.imgur.com/ZDWYVHG.png) #### 2.4.2 Policy、Effect、Principal、Condition、Action、Resource ``` { "Version": "2012-10-17", "Id": "http referer policy example", "Statement": [ { "Sid": "A;;oq get requests originating from www.example.com and example.com", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject1", "Resource": "arn:aws:s3:::examplebucket/*", "Condition": { "StringLike": {"aws:Referer": ["http://www.example.com", "http://example.com/*"]} } } ] } ``` --- ### 2.5 Policy 的組織流程 #### 2.5.1 視覺化編寫工具-Visual Editor ![](https://i.imgur.com/kupH5Il.png) 雲端管理員也會有失誤的時候，所以AWS有提供一套Policy測試模擬工具，叫做Policy Simulator #### 2.5.2 Policy 有效性模擬工具-Policy Simulator ![](https://i.imgur.com/WLml63x.png) ![](https://i.imgur.com/KKhyqgM.png) --- #### 2.5.3 最小權限管理-Least Privilege ![](https://i.imgur.com/azeAgvp.png) 最後流程 ![](https://i.imgur.com/qSAB9Zx.png) --- ### 2.6 常見的應用情境 #### 2.6.1 外部系統帳號串接AWS帳號-Federating Exist User ![](https://i.imgur.com/jhB14PA.png) #### 2.6.2 AWS帳號之間串接如果案件規模量大，每一個產品就會使用一個AWS帳號來做處裡，但有的時候，產品之間也會需要做一些資源的串接共享，這時候就會探討到多個AWS帳號串接的議題。 #### 2.6.3 AWS帳號之間串接公司的本地系統會想要以公司內部員工帳號來做AWS帳號的登入與資源做取用 #### 2.6.4 社群帳號串接AWS帳號 ![](https://i.imgur.com/JBr1dJD.png) #### 2.6.5 AWS服務之間互相串接 ![](https://i.imgur.com/4GwEa0E.png) ### 2.7 考題解析與思路延伸 ![](https://i.imgur.com/Piylr0t.png) --- ### 2.8 IAM帳號管理歸納圖 ![](https://i.imgur.com/JyPtlZv.png) ### 2.9 本章相關名詞 ### 2.10 小結