AWS IAM 最小权限实战体系 — 从组策略到 OIDC 到 Permission Boundary
构建可扩展的权限管理体系:新人 5 分钟开通、权限变更可审计、零长期密钥一、为什么 IAM 是安全第一道防线?AWS 账号被攻破的 90% 原因:AK/SK 泄露到 GitHub(自动化扫描秒级发现)过于宽泛的*:*权限(一个 Key 能干一切)离职员工 Key 未回收(永久有效)最小权限的本质:每个身份只能做它必须做的事,不多不少。二、IAM 身份类型与适用场景身份类型适用场景生命周期IAM User + Group人类登录控制台/CLI长期(需定期轮换 Key)IAM Role (EC2/ECS)应用运行时权限临时凭证(自动轮换)OIDC RoleCI/CD 流水线(GitHub Actions)临时凭证(1 小时过期)