1. IAM User (使用者)
- 定義: 代表一個特定的人(如開發者、管理員)或一個應用程式。
- 特性:擁有長期有效的憑證(控制台密碼 或 Access Keys)。一個使用者只能隸屬於一個 AWS 帳戶。
- 適用場景: 公司裡的員工 John 需要存取 AWS,你為他建立一個 IAM User。
2. IAM Group (使用者群組)
- 定義: IAM User 的集合。
- 特性:群組本身不是一個可以進行操作的實體(你無法以「群組」身分登入)。它的功能是簡化權限管理。將權限政策 (Policy) 綁定在群組上,群組內的所有使用者就會自動繼承這些權限。
- 適用場景: 你有一個「Developers」群組,你將權限給了群組,當有新工程師加入時,只需將他的 IAM User 加入這個群組即可,不需個別設定。
3. IAM Role (角色)
- 定義: 一種具有特定權限的暫時性身分。
- 特性:沒有長期的帳號密碼或 Access Keys。它是被扮演 (Assumed) 的。當使用者或服務扮演角色時,AWS 會發放一組暫時性的安全憑證 (STS tokens)。
- 適用場景:AWS 服務: 讓 EC2 執行個體有權限讀取 S3 (不用把金鑰寫在程式碼裡)。跨帳戶存取: 讓 A 帳戶的使用者暫時管理 B 帳戶的資源。身分聯合 (Federation): 讓使用公司 AD 或 Google 帳號的人登入 AWS。
4. Root User (根使用者)
雖然它也是一種「身分」,但通常與上述 IAM 身分分開討論。
- 定義: 註冊 AWS 帳戶時使用的 Email 地址。
- 權限: 擁有該 AWS 帳戶的絕對控制權,無法被限制。
- 最佳實踐: 除了第一次設定 IAM Admin User 之外,請勿使用 Root User。 應啟用 MFA 並將其鎖在保險箱中。
總結比較
