- 用户和组
- 身份和访问管理 Identify and Access Management (IAM), Global service
- 根账号 root account, 默认创建,不应使用或共享。
- 用户 Users, 组织的员工或应用账号,可以被分组。
- 组 Groups, 仅包括user
- 用户和组的关系:
- 用户可以不属于任何组,如Fred
- 用户可以属于多个组,如Charles, David
- IAM: Permissions 权限
- IAM 策略结构
- Version: policy language version
- Id(optional): 策略编号
- Statement(required): 一条或多条声明
- Sid (optional): 生命的编号
- Effect: 这条声明是“允许”还是“拒绝”访问
- Principal: 声明的主体,可以是account/user/role
- Action: 允许或拒绝的活动
- Resource: action应用的客体
- Condition (optional) : 策略何时生效