问：IAM 用户可以拥有哪些安全证书？

IAM 用户可以将 AWS 支持的凭证随意组合使用，例如 AWS 访问密钥、X.509 认证、SSH 密钥、Web 应用程序登录密码或MFA设备。这样一来，用户就可以通过他们认为方便的任何方式与 AWS 进行交互。

问：可否将 IAM 角色与 Auto Scaling 组联合？

可以。您可以将 IAM 角色作为额外参数添加到 Auto Scaling 启动配置中，再使用该启动配置创建 AutoScaling 组。与 IAM 角色关联的 Auto Scaling 组中启动的所有 EC2 实例都会以该角色作为输入参数进行启动。

问：可否将多个 IAM 角色与一个 EC2 实例关联？

否。目前一个 EC2 实例只能关联一个 IAM 角色。每个实例只能有一个角色的这一限制并不会增加。

问：我是否可以授予权限以访问归其他 AWS 账户所有的 AWS 资源？

可以。通过使用 IAM 角色，IAM 用户和关联用户可以通过 AWS 管理控制台、AWS CLI 或 API 访问其他 AWS 账户中的资源。

托管策略– 基于身份的独立策略，可附加到您的 AWS 账户中的多个用户、组和角色。有两种托管策略：

AWS 托管策略– 由 AWS 创建和管理的托管策略。

客户托管策略– 您在 AWS 账户中创建和管理的托管策略。与 AWS 托管策略相比，客户托管策略可以更精确地控制策略。

内联策略– 直接添加到单个用户、组或角色的策略。内联策略在策略和身份之间保持严格的一对一关系。当您删除身份时，内联策略将被删除。

基于身份的策略– 将托管策略和内联策略附加到 IAM 身份（用户、用户所属组或角色）。基于身份的策略向身份授予权限

基于资源的策略– 将内联策略附加到资源。基于资源的策略的最常见示例是 Amazon S3 存储桶策略和 IAM 角色信任策略。基于资源的策略向在策略中指定的委托人授予权限。委托人可以与资源位于同一个账户中，也可以位于其他账户中。

JSON 策略文档结构

如下图所示，JSON 策略文档包含以下元素

文档顶部的可选策略范围信息

一个或多个单独语句

语句中的信息均含在一系列的元素内。

Version– 指定要使用的策略语言版本。作为最佳实践，请使用最新的2012-10-17版本。

Statement– 将该主要策略元素作为以下元素的容器。可以在一个策略中包含多个语句。

Sid（可选）– 包括可选的语句 ID 以区分不同的语句。

Effect– 使用Allow或Deny指示策略是允许还是拒绝访问。

Principal（仅在某些情况下需要）– 如果创建基于资源的策略，您必须指示要允许或拒绝访问的账户、用户、角色或联合身份用户。如果要创建 IAM 权限策略以附加到用户或角色，则不能包含该元素。委托人暗示为该用户或角色。

Action– 包括策略允许或拒绝的操作列表。

Resource（仅在某些情况下需要）– 如果创建 IAM 权限策略，您必须指定操作适用的资源列表。如果创建基于资源的策略，则该元素是可选的。如果不包含该元素，则该操作适用的资源是策略附加到的资源。

Condition（可选）– 指定策略在哪些情况下授予权限。

https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/access_policies.html