适用于 Amazon EC2 的 Identity and Access Management - Amazon Elastic Compute Cloud
对您的实例的网络访问Amazon EC2 权限属性IAM 和 Amazon EC2
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

适用于 Amazon EC2 的 Identity and Access Management

您的安全凭证使 AWS 中的服务可以识别您,并授予您对 AWS 资源 (例如您的 Amazon EC2 资源) 的无限制使用权限。您可以使用 Amazon EC2 和 AWS Identity and Access Management (IAM) 的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您 AWS 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。

目录

对您的实例的网络访问

安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。

有关更多信息,请参阅 为您的 Linux 实例授权入站流量

Amazon EC2 权限属性

您的组织可能有多个 AWS 账户。借助 Amazon EC2,您可以指定能够使用您的 Amazon 系统映像 (AMI) 和 Amazon EBS 快照的其他 AWS 账户。这些权限仅在 AWS 账户级别有效;您不能限制指定 AWS 账户内特定用户的权限。您指定的 AWS 账户中的所有用户均可使用 AMI 或快照。

每个 AMI 都拥有一个 LaunchPermission 属性,用于控制可以访问该 AMI 的 AWS 账户。有关更多信息,请参阅将 AMI 设为 公用 AMI

每个 Amazon EBS 快照都有一个 createVolumePermission 属性,用于控制哪些 AWS 账户可以使用该快照。有关更多信息,请参阅共享 Amazon EBS 快照

IAM 和 Amazon EC2

IAM 允许您执行以下操作:

  • 在您的 AWS 账户下创建用户和组

  • 为您的 AWS 账户下的每个用户分配唯一的安全凭证

  • 控制每个用户使用 AWS 资源执行任务的权限

  • 允许另一 AWS 账户的用户共享 AWS 资源

  • 创建 AWS 账户角色并定义可以担任这些角色的用户或服务

  • 借助企业的现有身份验证,授予使用 AWS 资源执行任务的权限

通过将 IAM 与 Amazon EC2 配合使用,您可以控制组织中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 AWS 资源。

本主题有助于回答以下问题:

  • 如何在 IAM 中创建组和用户?

  • 如何创建策略?

  • 在 Amazon EC2 中执行任务时我需要哪些 IAM 策略?

  • 如何授予在 Amazon EC2 中执行操作的权限?

  • 如何授予在 Amazon EC2 中对特定资源执行操作的权限?

创建 IAM 组和用户

创建 IAM 组

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Groups,然后选择 Create New Group

  3. 对于 Group Name (组名称),为您的组键入一个名称,然后选择 Next Step (下一步)

  4. Attach Policy (附加策略) 页面上,选择 AWS 托管策略,然后选择 Next Step (下一步)。例如,对于 Amazon EC2,下列 AWS 管理的策略之一可能符合您的需求:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. 选择 Create Group

您的新组列在 Group Name 下方。

创建 IAM 用户,将该用户添加到您的组中,并为该用户创建密码

  1. 在导航窗格中,依次选择 UsersAdd user

  2. 对于 User name (用户名),请输入用户名。

  3. 对于 Access type (访问类型),选择 Programmatic access (编程访问)AWS 管理控制台 access (控制台访问)

  4. 对于 Console password (控制台密码),选择下列选项之一:

    • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。

    • 自定义密码。向每个用户分配您在框内输入的密码。

  5. 选择下一步: 权限

  6. 设置权限页面上,选择将用户添加到组。选中您之前创建的组旁边的复选框,然后选择 Next: Review

  7. 选择 Create user

  8. 要查看用户的访问密钥 (访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和秘密访问密钥旁边的 Show。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。

    重要

    完成此步骤之后您将无法检索秘密访问密钥;如果放错了位置,则必须创建一个新的。

  9. 选择 Close

  10. 为每个用户提供证书 (访问密钥和密码);让他们根据您为 IAM 组指定的权限享受服务。

有关 IAM 的更多信息,请参阅下文: