文章目录
- [一 AWS登录](#一 AWS登录)
-
- [Root user 登录通道](#Root user 登录通道)
- [IAM user 登录通道](#IAM user 登录通道)
- [二 访问AWS的三种方式](#二 访问AWS的三种方式)
-
- [1 AWS Management Console](#1 AWS Management Console)
- [2 AWS CLI](#2 AWS CLI)
- [3 AWS SDK](#3 AWS SDK)
-
-
- [一、IAM 在考试中的位置](#一、IAM 在考试中的位置)
- [二、必须背会的 7 个核心概念](#二、必须背会的 7 个核心概念)
- [三、责任共担模型(IAM 部分)](#三、责任共担模型(IAM 部分))
- [四、真题高频 5 大场景秒选模板](#四、真题高频 5 大场景秒选模板)
- 五、一张脑图(文字版)
- [六、24 小时记忆节奏](#六、24 小时记忆节奏)
- 七、一句话总结
-
一 AWS登录
AWS 登录页有两条独立通道:
Root user 登录通道
只需输入 注册 AWS 时用的邮箱地址 + Root 密码即可,系统靠邮箱就能定位到唯一账户。
IAM user 登录通道
才需要先填 账户 ID(或别名),再填 IAM 用户名 + 密码
所以记住:
"Root 走邮箱,IAM 走门牌" ------ 账户 ID 那一步是给 IAM 用户准备的,Root 用户直接跳过。
二 访问AWS的三种方式
1 AWS Management Console
2 AWS CLI
需要Access Key ID (username) 和 Secret Access Key (password),类似于用户名和密码。
给Admin用户创建Access Key,并在Cli内配置好Access Key
bash
C:\Users\ZhuanZ>aws --version
aws-cli/2.32.26 Python/3.13.11 Windows/10 exe/AMD64
C:\Users\ZhuanZ>aws configure
AWS Access Key ID [None]: AKIARIXNSPBRUPQN2HHX
AWS Secret Access Key [None]: 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
Default region name [None]: us-east-1
Default output format [None]:
C:\Users\ZhuanZ>aws iam list-users
{
"Users": [
{
"Path": "/",
"UserName": "adminAlix",
"UserId": "AIDARIXNSPBR5VJSTIUE6",
"Arn": "arn:aws:iam::087471323235:user/adminAlix",
"CreateDate": "2026-01-02T08:00:37+00:00",
"PasswordLastUsed": "2026-01-02T10:16:41+00:00"
}
]
}
C:\Users\ZhuanZ>3 AWS SDK
一、IAM 在考试中的位置
- 所属模块:Security & Compliance(占比 ≈ 26 %)
- 题型:单句问答,平均 8--10 题直接考 IAM,其余题把 IAM 当选项背景
- 难度:仅考"是什么+最佳实践",不考 JSON、不考手写 Policy
二、必须背会的 7 个核心概念
| 术语 | 一句话定义 | 最佳实践/常考陷阱 |
|---|---|---|
| Root 用户 | 注册 AWS 账号时自动创建的超级管理员,拥有所有资源+账单权限 | ① 必须启用 MFA;② 禁止创建 Access Key;③ 日常任务一律不用 Root |
| IAM User | 给"人"或"应用"建的长期身份,可登录控制台或生成 AK/SK | 一人一个 User,禁止共享;管理级用户必须开 MFA;权限通过 Group 授予 |
| IAM Group | 只装 User 的"文件夹",方便批量授权,不能当身份用 | 多用 Group、少直接把 Policy 贴 User;离职时直接从 Group 移除 |
| IAM Role | 无长期凭证,需被"扮演"的临时身份,最长 12 h | 优先用 Role 替代长期 AK/SK;EC2/Lambda/跨账户 100 % 用 Role |
| Policy | JSON 权限文档,决定"允许/拒绝"哪些动作 | 用 AWS 托管 Policy 最省心;遵循最小权限;内联 Policy 难审计,尽量别用 |
| STS | 生成临时凭证的底层服务,AssumeRole 是最常用 API | 所有"临时"场景(移动客户端、CI/CD、跨账户)都用 STS,不写死 AK/SK |
| MFA | 多因素认证,额外 6 位动态码 | Root 100 % 开;生产账号管理级 User 强烈建议开;考卷出现"most secure"选 MFA |
三、责任共担模型(IAM 部分)
- AWS 负责:IAM 基础设施全球可用、加密 Token
- 客户负责:
- 谁可以访问(创建/删除 User、Role)
- 访问哪些资源(写 Policy、绑 Policy)
- 审计访问(看 CloudTrail 日志、开 Config 规则)
口诀:AWS 管"云本身",你管"云里面的人"。
四、真题高频 5 大场景秒选模板
-
"哪个最安全访问 S3?"
→ 选"EC2 使用 IAM Role"而非"在代码里放 AK/SK"。
-
"Root 用户能干嘛?"
→ 只能"关闭账户、改账单联系人、创建组织",其他一律不选。
-
"新员工需要只读权限,怎么做?"
→ 创建 User → 加入已有"ReadOnly"Group(AWS 托管 Policy)。
-
"跨账户访问,选什么?"
→ 只选"Role + External-ID",永远不用 User。
-
"防止意外删除 S3 对象?"
→ 选"开启 MFA Delete"或"用 IAM Policy 拒 DeleteObject"。
五、一张脑图(文字版)
IAM
├─ Root ------ 开 MFA,不用来干活
├─ User ------ 给人用,开 MFA,进 Group
├─ Group ------ 批量装 User,挂 Policy
├─ Role ------ 没密钥,临时扮演,服务/跨账户必用
├─ Policy------ JSON 权限,最小权限,优先 AWS managed
└─ STS ------ 临时密钥引擎,Role 背后大佬六、24 小时记忆节奏
- 0 h 背完上表 → 4 h 做官方 10 题样题 → 12 h 把错题对应行抄一遍
- 24 h 再做 1 套模拟,IAM 部分 100 % 正确即可进入下一章节
七、一句话总结
CLF 只考"Root 别开密钥,人用 User 服务用 Role,权限最小加 MFA"------把这 4 句背烂,IAM 拿满分。