工作原理： 在 IAM 中，您可以使用策略来定义谁可以访问您的 AWS 资源。您将策略附加到 AWS 账户中的 IAM 角色和您的 AWS 资源。对于向 AWS 发出的每个请求，IAM 通过将其与您的策略进行比较来授权该请求，并允许或拒绝该请求。有关更多信息，请参阅 IAM 用户指南 的 了解 IAM 工作原理 部分。

IAM 策略语言： IAM 策略语言称为 JSON，允许您通过在策略中使用操作、资源和条件元素来精细地表达您的访问需求。有关更多信息，请参阅 IAM JSON 策略参考 。

授予访问权限的策略类型： IAM 让您可以灵活地将策略附加到您的 IAM 角色和支持基于资源的策略的 AWS 资源。 基于身份的策略和基于资源的策略 共同定义访问控制。有关策略类型的更多信息，请参阅 IAM 用户指南 的 IAM 中的策略和权限 部分。

预防性防护机制： 预防性防护机制可帮助您建立 IAM 角色可用的最大权限边界。您可以使用 服务控制策略 、 权限边界 和 会话策略 来限制可以授予 IAM 角色的权限。要了解有关建立预防性防护机制的更多信息，请参阅 AWS 上的数据边界 。

基于属性的访问控制（ABAC）： 使用 ABAC，根据附加到 IAM 角色（例如部门和工作角色）的属性定义精细权限。根据属性授予对单个资源的访问权限，让您不必为将来添加的每个新资源更新策略。有关更多信息，请参阅 适用于 AWS 的 ABAC 。

要了解有关简化权限管理的信息，请参阅 IAM 访问分析器引导您实现最低权限 。此外，观看 AWS 身份：下一代权限管理 以了解有关 IAM 中精细访问控制的更多信息。

AWS 对 Internet Explorer 的支持将于 07/31/2022 结束。受支持的浏览器包括 Chrome、Firefox、Edge 和 Safari。 了解详情 »