适用于 Amazon EC2 的 Identity and Access Management
您的安全凭证使 Amazon 中的服务可以识别您,并授予您对 Amazon 资源(例如您的 Amazon EC2 资源)的无限制使用权限。您可以使用 Amazon EC2 和 Amazon Identity and Access Management(IAM)的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您的 Amazon 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。
有关使用 IAM 保护您的 Amazon 资源安全的最佳实践,请参阅 IAM 中的安全最佳实践。
目录
对您的实例的网络访问
安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。
有关更多信息,请参阅为您的 Linux 实例授权入站流量。
Amazon EC2 权限属性
您的企业可能有多个 Amazon 账户。借助 Amazon EC2,您可以指定能够使用您的 Amazon Machine Image(AMI)和 Amazon EBS 快照的其他 Amazon 账户。这些权限仅在 Amazon 账户级别有效;您不能限制指定 Amazon 账户内特定用户的权限。您指定的 Amazon 账户中的所有用户均可使用 AMI 或快照。
每个 AMI 都拥有一个 LaunchPermission 属性,用于控制可以访问该 AMI 的 Amazon 账户。有关更多信息,请参阅将 AMI 设为公用。
每个 Amazon EBS 快照都有一个 createVolumePermission 属性,用于控制哪些 Amazon 账户可以使用该快照。有关更多信息,请参阅共享 Amazon EBS 快照。
IAM 和 Amazon EC2
IAM 允许您执行以下操作:
-
在 Amazon Web Services 账户 下创建用户和组
-
为 Amazon Web Services 账户 下的每个用户分配唯一的安全凭证
-
控制每个用户使用 Amazon 资源执行任务的权限
-
允许另一 Amazon Web Services 账户 中的用户共享 Amazon 资源
-
为 Amazon Web Services 账户 创建角色并定义可以担任这些角色的用户或服务
-
借助企业的现有身份,授予使用 Amazon 资源执行任务的权限
通过将 IAM 与 Amazon EC2 配合使用,您可以控制企业中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 Amazon 资源。
本主题有助于回答以下问题:
-
如何在 IAM 中创建组和用户?
-
如何创建策略?
-
在 Amazon EC2 中执行任务时我需要哪些 IAM policy?
-
如何授予在 Amazon EC2 中执行操作的权限?
-
如何授予在 Amazon EC2 中对特定资源执行操作的权限?
创建用户、组和角色
您可以为自己的 Amazon Web Services 账户 创建用户和组,然后为其分配所需权限。作为最佳实践,用户应通过担任 IAM 角色来获取权限。有关如何为 Amazon Web Services 账户 设置用户和组的更多信息,请参阅设置以使用 Amazon EC2。
IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。有关如何创建 IAM 角色并向其授予权限的更多信息,请参阅 Amazon EC2 的 IAM 角色。
相关主题
有关 IAM 的更多信息,请参阅以下文档: