給自己 2022 年的新目標 – AWS Certified Developer Associate 的學習筆記。這篇筆記從 IAM 開始。
課程相關資訊
[連結]:https://www.udemy.com/course/aws-certified-developer-associate-dva-c01/learn/lecture/11851550
本篇範圍:Chapter 4
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. Identity and Access Management ( IAM ), Global Service
2. 一如慣例,root A/C 是不應該被使用和分享的,這樣才能確保帳號擁有權及安全性
3. User 是可以被 Group 的,一個 User 可以被歸類在很多個 Group
4. Group 裡面不能再包含其他 Group
5. User 和 Group 用 JSON 來規範 Permission
6. Permission 規範原則必定為 least pricilege principle
7. 你可以創建 User 的 alias 名稱,並建立連結讓你日後好直接登入
8. IAM 的 Policies 是有繼承性的
9. 一個 Policy 的 Statement,必備值為標示 Effect, Principal, Action 和 Resource
10. 邏輯如下:
- 預設都是 Deny
- 若有明確標出 Allow 的,就會將預設值覆蓋
- 若有明確標出 Deny 的,就會將所有的 Allow 變成 Deny
換言之,你需要把整體的 Policy Statements 看完,才會知道最終結果。這些 Policy Statements 可以來自於單獨寫於這個 User 上的,以及其所屬的各個 Group 的聯集
11. IAM 的 Policy 是可以針對 CRUD 做細部設定的,你也可以建立你自己的 Policy
