AWS是世界上最大的云服务提供商，它提供了很多组件供消费者使用，其中进行访问控制的组件叫做IAM(Identity and Access Management)， 用来进行身份验证和对AWS资源的访问控制。 

功能

IAM的功能总结来看，主要分两种：

• 验证身份(Authentication)

• 授权访问(Authorization)

验证身份

验证身份的主要目的就是验证你的身份。

主要的身份实体有3种：

• 用户(user)，实体创建的用户，与用户组的关系为多对多

• 用户组(group)，根据一定规则分类的抽象集合，与用户的关系为多对多

• 角色(role)，其余AWS资源，例如EC2实例、Lambda函数等

对于用户来说，我们在控制台看到的是一个用户名，实际上在后台，它是一串资源字符串：

arn:aws:iam::account-ID-without-hyphens:user/User-name

确认方式有以下几种：

1. AWS管理控制台，使用username/password方式进行认证

2. AWS命令行工具，使用Access Key/Secret Key进行认证

3. AWS产品开发包(SDK)，使用Access Key/Secret Key进行认证

4. Restful API，使用Access Key/Secret Key进行认证

设定权限

对于AWS来说，这部分是通过Policy来实现的。

Policy规定了被认证的实体可以访问什么权限，怎样访问权限的问题，主要由Statement来完成。而Statement是使用json格式来填写的。

针对不同的层级，我们将Policy分为两种：

1. 针对已认证用户的层级，我们称为“Identified-Based Policy”

2. 针对资源层级，我们称为“Resource-Based Policy”