สิทธิ์ช่วยให้คุณระบุและควบคุมการเข้าถึงบริการและทรัพยากรของ AWS ได้ ในการมอบสิทธิ์ให้กับ IAM Role คุณสามารถแนบนโยบายที่ระบุประเภทของการเข้าถึง การดำเนินการที่สามารถทำได้ และทรัพยากรที่สามารถดำเนินการได้
เมื่อใช้นโยบาย IAM คุณจะให้สิทธิ์เข้าถึง API บริการและทรัพยากรของ AWS ที่เฉพาะเจาะจง คุณยังสามารถกำหนดเงื่อนไขเฉพาะว่าจะมอบสิทธิ์เข้าถึงใดได้ เช่น การมอบสิทธิ์เข้าถึงข้อมูลประจำตัวจากองค์กร AWS เฉพาะหรือสิทธิ์เข้าถึงบริการของ AWS เฉพาะ
บทบาทใน IAMช่วยให้คุณมอบสิทธิ์เข้าถึงให้กับผู้ใช้หรือบริการของ AWS เพื่อดำเนินการภายในบัญชี AWS ของคุณได้ ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวหรือบริการของ AWS สามารถมีบทบาทในการขอรับข้อมูลรับรองความปลอดภัยชั่วคราวที่สามารถนำมาใช้เพื่อขอ AWS ในบัญชี IAM Role ได้ ด้วยเหตุนี้ IAM Role จึงเป็นช่องทางหนึ่งสำหรับข้อมูลประจำตัวระยะสั้นสำหรับผู้ใช้ ปริมาณงาน และบริการของ AWS ที่จำเป็นต้องดำเนินการในบัญชี AWS ของคุณ
ใช้ IAM Roles Anywhere ช่วยให้เวิร์กโหลดที่เรียกใช้งานนอก AWS เช่น สภาพแวดล้อมในองค์กร แบบไฮบริด และแบบมัลติคลาวด์เข้าถึงทรัพยากร AWS ได้โดยใช้ใบรับรองดิจิทัล X.509 ที่ออกโดย Certificate Authorities ที่ลงทะเบียนของคุณ คุณสามารถใช้ IAM Roles Anywhere เพื่อรับข้อมูลประจำตัวชั่วคราวของ AWS และใช้บทบาทและนโยบาย IAM ที่คุณกำหนดค่าเอาไว้สำหรับเวิร์กโหลด AWS ของคุณเพื่อเข้าถึงทรัพยากร AWS ได้
การให้สิทธิ์เท่าที่จำเป็นคือวงจรต่อเนื่องในการให้สิทธิ์อนุญาตที่มีการปรับความเหมาะสมโดยละเอียดตามข้อกำหนดของคุณที่เปลี่ยนแปลงไป IAM Access Analyzer ช่วยให้คุณปรับปรุงการจัดการสิทธิ์ระหว่างที่คุณกำหนด ตรวจสอบ และปรับแต่งสิทธิ์
AWS Organizations ช่วยให้คุณสามารถใช้นโยบายควบคุมการบริการ (SCP) เพื่อสร้างกฎควบคุมระบบที่ผู้ใช้และบทบาท IAM ทั้งหมดในบัญชีขององค์กรปฏิบัติตาม ไม่ว่าคุณจะเพิ่งเริ่มบังคับใช้ SCP หรือบังคับใช้ SCP อยู่แล้ว คุณก็สามารถใช้การวิเคราะห์การเข้าถึงของ IAM เพื่อช่วยจำกัดสิทธิ์ได้อย่างมั่นใจทั่วทั้งองค์กร AWS ของคุณ
การควบคุมการเข้าถึงตามคุณลักษณะ (ABAC) คือ กลยุทธ์การให้สิทธิ์ที่คุณใช้เพื่อสร้างสิทธิ์แบบละเอียดตามคุณลักษณะของผู้ใช้ เช่น แผนก ตำแหน่งงาน และชื่อทีม เมื่อใช้ ABAC คุณสามารถลดจำนวนสิทธิ์ที่แตกต่างกันซึ่งจำเป็นสำหรับการสร้างการควบคุมแบบละเอียดในบัญชี AWS ของคุณ
จัดการการเข้าถึงรูทสำหรับบัญชีสมาชิกใน AWS Organizations แบบรวมศูนย์ ช่วยให้คุณสามารถจัดการข้อมูลประจำตัวรูทได้อย่างง่ายดาย และยังดำเนินการงานที่มีสิทธิพิเศษสูงได้อีกด้วย