身份账户体系结构

• 用户，用户是AWS的身份凭证，分为根用户和IAM用户。用户的识别包括用户名/密码，AK/SK。
• 用户组，包含多个用户的组，方便用户策略的统一分配和管理。
• 角色，定义了受信任实体的特定权限，且凭证在短期内有效。通俗的说，定义了A(受信实体)对于B(目标资源)有特定的权限(增删改查等动作)，这个权限是通过短期凭证实现。
• 策略，是对权限的定义，允许或者拒绝(Effect)，对于哪些资源(resource)，实施哪些动作(Action)。
• 账户，即申请的AWS的账户，通过根用户管理其下所有IAM用户和资源，也是账单的承载单位。
• 组织，对多个账号统一管理，包括整合账单和服务控制策略。

什么是多身份账户体系结构

原本是一个账户下创建多个IAM用户，现在是在一个身份账户下创建多个环境下的账户，用户可以跨账号访问。