Amazon Elastic Compute Cloud
Windows 实例用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

控制对 Amazon EC2 资源的访问

您的安全证书使 AWS 中的服务可以识别您,并授予您对 AWS 资源 (例如您的 Amazon EC2 资源) 的无限制使用权限。您可以使用 Amazon EC2 和 AWS Identity and Access Management (IAM) 的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您 AWS 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。

网络访问您的实例

安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。

有关更多信息,请参阅 为您的 Windows 实例授权入站流量

Amazon EC2 权限属性

您的组织可拥有多个 AWS 账户。Amazon EC2 让您可以指定其他的 AWS 账户,能够使用您的 Amazon 系统映像 (AMI) 和 Amazon EBS 快照。这些权限仅在 AWS 账户级别有效;您不能限制指定 AWS 账户内特定用户的权限。您指定的 AWS 账户中的所有用户均可使用 AMI 或快照。

每个 AMI 都拥有一个 LaunchPermission 属性,用于控制可以访问该 AMI 的 AWS 账户。有关更多信息,请参阅 将 AMI 设为公用

每个 Amazon EBS 快照都有一个 createVolumePermission 属性,用于控制哪些 AWS 账户可以使用该快照。有关更多信息,请参阅 共享 Amazon EBS 快照

IAM 和 Amazon EC2

IAM 允许您执行以下操作:

  • 在您的 AWS 账户下创建用户和组

  • 为您的 AWS 账户下的每个用户分配唯一的安全证书

  • 控制每个用户使用 AWS 资源执行任务的权限

  • 允许另一 AWS 账户的用户共享 AWS 资源

  • 创建 AWS 账户角色并定义可以担任这些角色的用户或服务

  • 借助企业的现有身份验证,授予使用 AWS 资源执行任务的权限

通过将 IAM 与 Amazon EC2 配合使用,您可以控制组织中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 AWS 资源。

本主题有助于回答以下问题:

  • 如何在 IAM 中创建组和用户?

  • 如何创建策略?

  • 在 Amazon EC2 中执行任务时我需要哪些 IAM 策略?

  • 如何授予在 Amazon EC2 中执行操作的权限?

  • 如何授予在 Amazon EC2 中对特定资源执行操作的权限?

创建 IAM 组和用户

创建 IAM 组

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Groups,然后选择 Create New Group

  3. 对于 Group Name,为您的组键入一个名称,然后选择 Next Step

  4. Attach Policy 页面上,选择 AWS 管理的策略,然后选择 Next Step。例如,对于 Amazon EC2,下列 AWS 管理的策略之一可能符合您的需求:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. 选择 Create Group

您的新组列在 Group Name (组名) 下方。

创建 IAM 用户,将该用户添加到您的组中,并为该用户创建密码

  1. 在导航窗格中,依次选择 UsersAdd user

  2. 对于 User name,键入用户名。

  3. 对于 Access type,选择 Programmatic accessAWS 管理控制台 access

  4. 对于 Console password ,选择以下任一项:

    • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。

    • 自定义密码。向每个用户分配您在框内键入的密码。

  5. 选择 Next: Permissions

  6. 设置权限页面上,选择将用户添加到组。选择您之前创建的组旁边的复选框,然后选择 Next: Review

  7. 选择 Create user

  8. 要查看用户的访问密钥 (访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和秘密访问密钥旁边的 Show。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。

    重要

    完成此步骤之后您将无法检索秘密访问密钥;如果放错了位置,则必须创建一个新的。

  9. 选择 Close

  10. 为每个用户提供证书 (访问密钥和密码);让他们根据您为 IAM 组指定的权限享受服务。

有关 IAM 的更多信息,请参阅下文: