Chapter 03 - Cloud Basics and IAM
本章目标
看完本章后,你应该可以回答:
- AWS account、Region、Availability Zone 的差异是什么?
- IAM user、group、role、policy 分别解什么问题?
- 为什么 SAA-C03 很常考 least privilege?
- 什么时候该用 role,而不是 access key?
一句话
这章是在建立 AWS 的地基:资源放在哪里、谁可以做什么、权限怎么安全授予。
架构位置
IAM 不在单一 workload 里,而是横跨整个 AWS account 的 control plane。
它会影响:
- EC2 能不能读 S3
- Lambda 能不能写 DynamoDB
- 跨 account 能不能访问资源
- 工程师能不能修改 production resource
- service-to-service access 是否需要 long-term credential
常见服务与概念
- AWS account
- Region / Availability Zone
- IAM user / group / role / policy
- Identity-based policy / resource-based policy
- STS
- MFA
- Organizations / SCP
- Shared Responsibility Model
PM 视角
PM 不需要每天写 IAM policy,但要知道「权限」不是一张表单,而是 security requirement 的一部分。
需求如果包含 production access、vendor access、cross-account access、private data access,通常都会涉及 IAM design。
Developer / DevOps 视角
工程师要避免把 access key 写进代码或 CI/CD secret 里。SAA-C03 很常偏好 role-based access,尤其是 EC2 instance profile、Lambda execution role、cross-account role。
考试怎么问
常见题型会问:
- 如何让 EC2 安全访问 S3?
- 如何让另一个 AWS account 访问资源?
- 如何让权限符合 least privilege?
- 如何避免 long-term credential?
常见陷阱
| 陷阱 | 正确方向 |
|---|---|
| 把 access key 放在 EC2 里 | 使用 IAM role / instance profile |
| 给 AdministratorAccess 解决问题 | 使用 least privilege policy |
| 混淆 IAM role 和 IAM user | role 是临时被 assumed 的权限,不代表真人账号 |
| 只看 identity policy | 有些服务也会用 resource-based policy |