AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

教程:创建和附加您的第一个客户托管策略

在本教程中,您使用 AWS 管理控制台创建一个客户托管策略,然后将该策略附加到您的 AWS 账户中的一个 IAM 用户。您创建的策略允许具有只读权限的 IAM 测试用户直接登录到 AWS 管理控制台。

此工作流程具有三个基本步骤:

步骤 1:创建策略

默认情况下,IAM 用户没有权限来执行任何操作。未经过您的允许,他们无法访问 AWS 管理控制台,也无法管理其中的数据。在该步骤中,您创建一个允许任何附加的用户登录到该控制台的客户托管策略。

步骤 2:附加策略

将策略附加到用户时,该用户继承与该策略相关的所有访问权限。在此步骤中,您会将新策略附加到测试用户账户。

步骤 3:测试用户访问权限

附加策略后,您即可以该用户身份登录并测试策略。

先决条件

要执行本教程中的步骤,您必须已具备以下内容:

  • 可使用 IAM 用户身份登录的具有管理权限的 AWS 账户。

  • 未分配有如下权限或组成员资格的测试 IAM 用户:

    用户名称 权限
    PolicyUser <无> <无>

步骤 1:创建策略

在此步骤中,您将创建允许任何附加用户(具有 IAM 数据的只读访问权限)登录 AWS 管理控制台的客户托管策略。

为测试用户创建策略

  1. 使用具有管理员权限的用户身份通过 https://console.amazonaws.cn/iam/ 登录 IAM 控制台。

  2. 在导航窗格中,选择 Policies

  3. 在内容窗格中,选择创建策略

  4. 选择 JSON 选项卡,然后复制以下 JSON 策略文档中的文本。将该文本粘贴到 JSON 文本框中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
  5. 完成后,选择查看策略策略验证程序将报告任何语法错误。

    注意

    您可以随时在可视化编辑器JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择查看策略,IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  6. 审核页上,键入 UsersReadOnlyAccessToIAMConsole 以作为策略名称。查看策略摘要以查看您的策略授予的权限,然后选择创建策略以保存您的工作。

    将在托管策略列表中显示新策略,并已准备好附加该策略。

步骤 2:附加策略

接下来,您会将刚刚创建的策略附加到测试 IAM 用户。

将策略附加到测试用户

  1. 在 IAM 控制台的导航窗格中,选择 Policies

  2. 在策略列表顶部的搜索框中,开始键入 UsersReadOnlyAccesstoIAMConsole,直到显示您的策略为止,然后选中列表 UsersReadOnlyAccessToIAMConsole 旁边的框。

  3. 选择 Policy Actions 按钮,然后选择 Attach

  4. 对于 Filter,选择 Users

  5. 在搜索框中开始键入 PolicyUser,直到该用户在列表上显示为止,然后选中列表中该用户旁边的框。

  6. 选择 Attach Policy

您已将策略附加到 IAM 测试用户,这意味着现在该用户具有 IAM 控制台的只读访问权限。

步骤 3:测试用户访问权限

对于本教程,我们建议您以测试用户身份登录来测试访问权限,这样可以观察结果并了解用户体验。

使用测试用户账户登录以测试访问权限

  1. 使用您的 PolicyUser 测试用户通过 https://console.amazonaws.cn/iam/ 登录 IAM 控制台。

  2. 浏览控制台的各个页面并尝试创建新的用户或组。请注意,PolicyUser 可以显示数据,但无法创建或修改现有 IAM 数据。

相关资源

有关 IAM 用户指南 中的相关信息,请参阅以下资源:

摘要

现在,您已成功完成创建和附加客户托管策略所需的所有步骤。因此,您可以使用测试账户登录 IAM 控制台,并直接获悉用户体验。