IAM服务介绍
用户在创建 AWS 账户时,会创建一个用于登录 AWS 账户的根用户
身份。可以使用此根用户身份(即,创建账户时提供的电子邮件地址和密码
)登录 AWS 管理控制台。您的电子邮件地址和密码的组合也称为您的根用户凭证。使用根用户凭证时,您可以对 AWS 账户中的所有资源进行完全、无限制的访问,包括访问您的账单信息,您还能更改自己的密码。
当您首次设置账户时,需要此访问级别。但是,我们不 建议使用根用户凭证进行日常访问。AWS特别建议您不要与任何人共享您的根用户凭证,因为如果这样做,他们可对您的账户进行无限制的访问。无法限制向根用户授予的权限。
分类如下:
IAM用户 #通过根用户注册
根用户 #注册账号时电子邮箱地址和密码
role(策略)#控制权限的范围界线
IAM角色 #类似于IAM用户,但是IAM角色服务于AWS服务
AKSK # AK(Access Key ID)、SK(Secret Access Key)
比如使用AWS API、CLI、SDK和其他开发者工具的时候需要使用aksk,使用aksk操作访问服务与在console控制台访问是一样的,前者通过代码访问服务,后者通过web界面访问服务;访问服务的范围大小由role来控制权限边界,role可以附加到单个IAM用户,用户组,角色上;为了防止使用单个用户操作出现不必要的事故问题,我们采取,创建IAM用户进行日常工作使用,根用户是最后的保障,开启MFA,专人管理根用户账号信息