本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 什麼是 IAM? AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 資源的 AWS 存取。透過 IAM,您可以管理許可,以控制使用者可以存取哪些 AWS 資源。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。IAM 提供控制 AWS 帳戶身分驗證和授權所需的基礎設施。 **身分** 當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 使用 IAM 來設定根使用者以外的其他身分,例如管理員、分析師和開發人員,並授予他們在任務中取得成功所需的資源存取權。 **存取管理** 在 IAM 中設定使用者後,他們會使用其登入憑證對 AWS進行驗證。身分驗證是透過將登入憑證比對至 信任的委託人 (IAM 使用者、 AWS STS 聯合委託人、IAM 角色或應用程式) 來提供 AWS 帳戶。接下來,系統會提出請求來向主體授與資源的存取權。如果使用者已獲得資源許可,則會授予存取權以回應授權請求。舉例來說,當您第一次登入主控台且位於主控台首頁頁面時,您並未存取特定服務。選取某項服務時,系統會將授權請求傳送至該服務,該項服務會檢查您的身分是否在授權使用者清單上、強制執行了哪些政策來控制授與的存取層級,以及任何可能生效中的其他政策。授權請求可由您內部的委託人 AWS 帳戶 或您信任 AWS 帳戶 的委託人提出。 獲得授權後,主體即可對您 AWS 帳戶中的資源採取動作或執行操作。例如,委託人可以啟動新的 Amazon Elastic Compute Cloud 執行個體、修改 IAM 群組成員資格或刪除儲存 Amazon Simple Storage Service 貯體。 **提示** AWS 訓練和認證提供 IAM 的 10 分鐘影片簡介: [AWS Identity and Access Management簡介](https://www.aws.training/learningobject/video?id=16448)。 **服務可用性** IAM 與許多 AWS 其他服務一樣,[最終是一致的](https://wikipedia.org/wiki/Eventual_consistency)。IAM 可跨 Amazon 全球資料中心內多部伺服器複寫資料,來達到高可用性。如果變更一些資料的請求成功完成,則該變更經認可並安全儲存。然而,該變更必須跨 IAM 複寫,這可能需要一些時間。此類變更包括建立或更新使用者、群組、角色或政策。在應用程式的關鍵、高可用性代碼路徑中,我們不建議進行此類 IAM 變更。而應在不常運作的、單獨的初始化或設定常式中進行 IAM 變更。另外,在生產工作流程套用這些變更之前,請務必確認變更已完成傳播。如需詳細資訊,請參閱[我所做的變更不一定都會立刻生效](troubleshoot.md#troubleshoot_general_eventual-consistency)。 **服務成本資訊** AWS Identity and Access Management (IAM)、 AWS IAM Identity Center 和 AWS Security Token Service (AWS STS) 是您 AWS 帳戶的功能,無需額外付費。只有在您使用 IAM 使用者或 AWS STS 臨時安全登入資料存取其他服務時 AWS ,才會向您收取費用。 會提供 IAM Access Analyzer 外部存取分析,無需額外付費。不過,您需支付未使用的存取分析和客戶政策檢查的費用。如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。 如需其他 AWS 產品定價的資訊,請參閱 [Amazon Web Services 定價頁面](https://aws.amazon.com/pricing/)。 **與其他 AWS 服務的整合** IAM 與許多 AWS 服務整合。如需使用 AWS IAM 的服務清單,以及服務支援的 IAM 功能,請參閱 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。