适用于 Amazon EC2 的 IAM policy
默认情况下,用户没有创建或修改 Amazon EC2 资源或使用 Amazon EC2 API、Amazon EC2 控制台或 CLI 执行任务的权限。要允许用户创建或修改资源和执行任务,您必须创建 IAM policy 以允许用户使用所需的特定资源和 API 操作,然后将这些策略与需要这些权限的用户、组或 IAM 角色关联起来。
在将策略附加到一个用户、一组用户或角色时,它会授权或拒绝用户使用指定资源执行指定任务。有关 IAM policy 的更多一般信息,请参阅《IAM 用户指南》中的 IAM 中的策略与权限。有关管理和创建自定义 IAM policy 的更多信息,请参阅管理 IAM policy。
开始使用
IAM policy 必须授予或拒绝使用一个或多个 Amazon EC2 操作的权限。它还必须指定可以用于操作的资源 (可以是所有资源,在某些情况下可以是特定资源)。策略还可以包含应用于资源的条件。
Amazon EC2 部分支持资源级权限。这意味着,对于某些 EC2 API 操作,您无法指定用户可用于该操作的资源。相反,您必须允许用户将所有资源用于该操作。
| 任务 | 主题 |
|---|---|
| 了解策略的基本结构 | 策略语法 |
| 在策略中定义操作 | Amazon EC2 操作 |
| 在策略中定义特定资源 | 适用于 Amazon EC2 的 Amazon Resource Name (ARN) |
| 将条件应用于资源的使用 | Amazon EC2 的条件键 |
| 使用可用于 Amazon EC2 的资源级权限 | Amazon EC2 的操作、资源和条件键 |
| 测试策略 | |
| 生成 IAM policy | |
| 针对 CLI 或软件开发工具包的策略示例 | 有关使用 Amazon CLI 或 Amazon 开发工具包的示例策略 |
| 针对 Amazon EC2 控制台的策略示例 | 用于 Amazon EC2 控制台的示例策略 |
向用户、组和角色授予权限
以下是一些 Amazon 托管式策略示例,您可以根据需求使用这些策略:
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
有关更多信息,请参阅 Amazon EC2 的 Amazon 托管式策略。
要提供访问权限,请为您的用户、组或角色添加权限:
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-