适用于 Amazon EC2 的 Identity and Access Management
您的安全凭证使 AWS 中的服务可以识别您,并授予您对 AWS 资源 (例如您的 Amazon EC2 资源) 的无限制使用权限。您可以使用 Amazon EC2 和 AWS Identity and Access Management (IAM) 的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您 AWS 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。
目录
对您的实例的网络访问
安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。
有关更多信息,请参阅 为您的 Linux 实例授权入站流量。
Amazon EC2 权限属性
您的组织可能有多个 AWS 账户。借助 Amazon EC2,您可以指定能够使用您的 Amazon 系统映像 (AMI) 和 Amazon EBS 快照的其他 AWS 账户。这些权限仅在 AWS 账户级别有效;您不能限制指定 AWS 账户内特定用户的权限。您指定的 AWS 账户中的所有用户均可使用 AMI 或快照。
每个 AMI 都拥有一个 LaunchPermission
属性,用于控制可以访问该 AMI 的 AWS 账户。有关更多信息,请参阅将 AMI 设为 公用 AMI。
每个 Amazon EBS 快照都有一个 createVolumePermission
属性,用于控制哪些 AWS 账户可以使用该快照。有关更多信息,请参阅共享 Amazon EBS 快照。
IAM 和 Amazon EC2
IAM 允许您执行以下操作:
-
在您的 AWS 账户下创建用户和组
-
为您的 AWS 账户下的每个用户分配唯一的安全凭证
-
控制每个用户使用 AWS 资源执行任务的权限
-
允许另一 AWS 账户的用户共享 AWS 资源
-
创建 AWS 账户角色并定义可以担任这些角色的用户或服务
-
借助企业的现有身份验证,授予使用 AWS 资源执行任务的权限
通过将 IAM 与 Amazon EC2 配合使用,您可以控制组织中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 AWS 资源。
本主题有助于回答以下问题:
-
如何在 IAM 中创建组和用户?
-
如何创建策略?
-
在 Amazon EC2 中执行任务时我需要哪些 IAM 策略?
-
如何授予在 Amazon EC2 中执行操作的权限?
-
如何授予在 Amazon EC2 中对特定资源执行操作的权限?
创建 IAM 组和用户
创建 IAM 组
-
通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/
。 -
在导航窗格中,选择 Groups,然后选择 Create New Group。
-
对于 Group Name (组名称),为您的组键入一个名称,然后选择 Next Step (下一步)。
-
在 Attach Policy (附加策略) 页面上,选择 AWS 托管策略,然后选择 Next Step (下一步)。例如,对于 Amazon EC2,下列 AWS 管理的策略之一可能符合您的需求:
-
PowerUserAccess
-
ReadOnlyAccess
-
AmazonEC2FullAccess
-
AmazonEC2ReadOnlyAccess
-
-
选择 Create Group。
您的新组列在 Group Name 下方。
创建 IAM 用户,将该用户添加到您的组中,并为该用户创建密码
-
在导航窗格中,依次选择 Users、Add user。
-
对于 User name (用户名),请输入用户名。
-
对于 Access type (访问类型),选择 Programmatic access (编程访问) 和 AWS 管理控制台 access (控制台访问)。
-
对于 Console password (控制台密码),选择下列选项之一:
-
自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。
-
自定义密码。向每个用户分配您在框内输入的密码。
-
-
选择下一步: 权限。
-
在设置权限页面上,选择将用户添加到组。选中您之前创建的组旁边的复选框,然后选择 Next: Review。
-
选择 Create user。
-
要查看用户的访问密钥 (访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和秘密访问密钥旁边的 Show。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。
重要 完成此步骤之后您将无法检索秘密访问密钥;如果放错了位置,则必须创建一个新的。
-
选择 Close。
-
为每个用户提供证书 (访问密钥和密码);让他们根据您为 IAM 组指定的权限享受服务。
相关主题
有关 IAM 的更多信息,请参阅下文: