IAM 教程:创建和附加您的第一个客户托管策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 教程:创建和附加您的第一个客户托管策略

在本教程中,您将使用 Amazon Web Services Management Console 创建一个客户管理型策略,然后将该策略附加到您 Amazon Web Services 账户 中的一个 IAM 用户。您创建的策略允许具有只读权限的 IAM 测试用户直接登录 Amazon Web Services Management Console。

此工作流程具有三个基本步骤:

步骤 1:创建策略

默认情况下,IAM 用户没有权限来执行任何操作。未经过您的允许,他们无法访问 Amazon 管理控制台,也无法管理其中的数据。在该步骤中,您创建一个允许任何附加的用户登录到该控制台的客户托管策略。

步骤 2:附加策略

将策略附加到用户时,该用户继承与该策略相关的所有访问权限。在此步骤中,您会将新策略附加到测试用户。

步骤 3:测试用户访问权限

附加策略后,您即可以该用户身份登录并测试策略。

先决条件

要执行本教程中的步骤,您必须已具备以下内容:

  • 可作为 IAM 用户身份登录且具有管理权限的 Amazon Web Services 账户。

  • 未分配有如下权限或组成员资格的测试 IAM 用户:

    用户名称 权限
    PolicyUser <无> <无>

步骤 1:创建策略

在该步骤中,您创建一个允许任何附加用户(具有 IAM 数据的只读访问权限)登录 Amazon Web Services Management Console 的客户托管策略。

为测试用户创建策略
  1. 使用您具有管理员权限的账户,通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 在内容窗格中,选择创建策略

  4. 选择 JSON 选项,然后复制以下 JSON 策略文档中的文本。将该文本粘贴到 JSON 文本框中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
  5. 解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Next(下一步)。

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构

  6. 查看并创建页面上,键入 UsersReadOnlyAccessToIAMConsole 作为策略名称。查看您的策略授予的权限,然后选择创建策略以保存您的工作。

    将在托管策略列表中显示新策略,并已准备好附加该策略。

步骤 2:附加策略

接下来,您会将刚刚创建的策略附加到测试 IAM 用户。

将策略挂载到测试用户
  1. 在 IAM 控制台的导航窗格中,选择 Policies(策略)。

  2. 在策略列表顶部的搜索框中,开始键入 UsersReadOnlyAccesstoIAMConsole 直至您的策略出现。然后,选中列表中 UsersReadOnlyAccessToIAMConsole 旁边的单选按钮。

  3. 请选择 Actions(操作)按钮,然后选择 Attach(附加)。

  4. 在 IAM 实体中,选择选项以筛选用户

  5. 在搜索框中,开始键入 PolicyUser 直至该用户在列表上可见。然后,选中列表中该用户旁边的框。

  6. 选择 Attach policy(附上策略)。

您已将策略挂载到 IAM 测试用户,这意味着现在该用户具有 IAM 控制台的只读访问权限。

步骤 3:测试用户访问权限

对于本教程,我们建议您以各测试用户身份登录来测试访问权限,以便能了解用户可能获得的体验。

使用测试用户登录以测试访问权限
  1. 使用您的 PolicyUser 测试用户通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 浏览控制台的各个页面并尝试创建新的用户或组。请注意,PolicyUser 可以显示数据,但无法创建或修改现有 IAM 数据。

相关资源

有关信息,请参阅以下资源:

摘要

现在,您已成功完成创建和附加客户托管策略所需的所有步骤。因此,您可以使用测试账户登录 IAM 控制台,以了解用户可能获得的体验。