我们对内部IT人员使用AWS身份和访问管理（IAM）实施了限制。 IAM如何保护对服务、应用程序和最终用户的访问？

安全漏洞可能出现在云中的任何地方，甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。通过动态创建访问密钥来授予对帐户的临时访问权，AWS IAM有助于保护资源。

通过AWS IAM ，管理员可以在抽象中创建权限，并将其应用于用户、工作负载或服务，如弹性计算云（EC2或简单存储服务（S3）实例。 管理员必须将相对应的角色应用于具有AWS访问凭据的用户、工作负载或服务上。

通常，IT团队使用AWS IAM与应用一起来处理运行在AWS工具上的凭据。 虽然可以为每个实例调配和更新AWS凭据，允许工作负载签署请求进行身份验证，但公有云的动态环境使该过程变得复杂。管理员将角色应用于实例，这样工作负载就可以做出安全的API请求，而不必担心底层安全凭证；AWS IAM允许管理员和开发人员指派API权限。 例如，AWS IAM可以允许EC2应用访问S3中的存储。

管理员通过IAM控制台、IAM API或AWS命令行界面创建角色。首先，他们定义用于承担定义角色的AWS账户或服务 ，以及定义角色可以访问的API操作和资源。 接下来，管理员在实例启动时提供角色；他们可能需要重新启动角色所需的实例才能生效。最后，管理员允许实体——服务、用户或API，检索用于访问的临时凭证。

联合身份管理 VS. MFA

身份联合与角色不同，它为外部资源分配信任和管理访问权限。 当业务人员打开AWS账户并使用IAM时，管理员通常会创建IAM用户，并分配许可和凭据，从而允许这些用户访问资源。只有具有IAM凭据和权限的用户或服务才能访问公司AWS账户中的资源。但AWS允许管理员将访问权限指派给不是首先在IAM中创建的外部资源。这些外部身份可能来自Active Directory、AWS Directory Service、Amazon Cognito或来自外部身份提供者如Facebook或Google。

多因素认证（MFA）是一种旨在增强企业AWS账户和资源安全性的技术。管理员将用户名和密码的详细信息与MFA设备生成的唯一身份验证码组合。同时，管理员在帐户中，使MFA在AWS帐户级别中为各个IAM用户所用，并访问AWS API。

MFA需要额外添加生成认证码的唯一物理或虚拟设备;AWS目前支持用于移动设备的虚拟MFA设备、发送到特定移动设备的硬件密钥MFA设备和SMS MFA代码。虚拟设备本质上是安装在硬件设备上的实体，例如Android或Windows手机。硬件密钥设备通常通过PC USB端口或无线同步连接来操作。

SMS MFA通常仅保留用于最安全的情况。 SMS MFA确保每个移动设备分配的用户能够访问MFA代码。其他密码或生物识别工具，如iPad指纹，将进一步支持MFA的安全性。AWS目前仅测试SMS，但它可以是高度安全用户或帐户的特定访问选项。