本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予 Amazon Config 管理权限
允许用户管理Amazon Config,您必须向 IAM 用户授予显式权限以使其能够执行与Amazon Config任务。在大多数情况下,您可以使用包含预定义权限的 Amazon 托管策略来执行此操作。
您授予用户执行的权限Amazon Config管理任务与以下权限不同Amazon Config本身需要,以便将日志文件传输到 Amazon S3 存储桶或将通知发送到 Amazon SNS 主题。
设置和管理 Amazon Config 的用户必须具有完全访问权限。通过完全访问权限,用户可以提供 Amazon S3 和 Amazon SNS 终端节点Amazon Config向传送数据,为创建角色Amazon Config,然后打开和关闭录制。
使用 Amazon Config 但无需设置 Amazon Config 的用户应获得只读权限。如果具有只读权限,用户可以查找资源的配置或者按标签搜索资源。
一种典型方法是创建具有适当权限的 IAM 组,然后将单个 IAM 用户添加到该组。例如,您可以为应具备完全访问权限的用户创建 IAM 组Amazon Config操作,并为应能够查看配置而不是创建或更改角色的用户创建单独的组。
为创建 IAM 组和用户Amazon Config访问
登录到Amazon Identity and Access Management(IAM) 控制台位于https://console.aws.amazon.com/iam
. 在控制面板的导航窗格中,选择 Groups,然后选择 Create New Group。
键入名称,然后选择 Next Step。
在存储库的附加策略页面上,找到并选择AWSConfigUserAccess. 此策略为用户提供使用 Amazon Config 的访问权限,包括按资源上的标签进行搜索,以及读取所有标签。这不提供配置 Amazon Config 的权限(这需要管理权限)。
注意 您还可创建用于授予单个操作的权限的自定义策略。有关更多信息,请参阅 向 Amazon Config 用户授予自定义权限 。
选择 Next Step。
查看您即将创建的组的信息。
注意 您可以编辑组名,但需要再次选择策略。
选择 Create Group(创建组)。已创建的组将显示在组列表中。
选择您创建的组名,选择 Group Actions,然后选择 Add Users to Group。
在存储库的将用户添加到组页面上,选择现有的 IAM 用户,然后选择添加用户. 如果您还没有 IAM 用户,请选择创建新用户,输入用户名,然后选择Create.
如果创建了新用户,请在导航窗格中选择 Users,然后针对每个用户完成以下操作:
选择用户。
如果用户将使用控制台管理 Amazon Config,则在 Security Credentials 选项卡中选择 Manage Password,然后为用户创建密码。
如果用户将使用 Amazon CLI 或 API 管理 Amazon Config,并且如果您尚未创建访问密钥,则在 Security Credentials (安全凭证) 选项卡中选择 Manage Access Keys (管理访问密钥),然后创建访问密钥。将密钥存储在安全位置。
为每个用户提供证书(访问密钥或密码)。
授予完全访问权限以进行 Amazon Config 访问
登录到Amazon Identity and Access Management(IAM) 控制台位于https://console.aws.amazon.com/iam
. 在导航窗格中选择 Policies,然后选择 Create Policy。这将打开 Plication (策略编辑器)。
您可以使用可视化编辑器选项卡或 JSON 选项卡创建您自己的自定义策略。您可以选择...导入托管策略使用您自己创建的策略或由管理的策略的权限Amazon.
Select下一步:标签.
添加您希望策略具有的任何标签。
SelectNext: 审核.
键入策略名称和描述(可选)。查看策略提供的权限。
选择 Create Policy (创建策略)。
在策略列表中,选择您创建的策略。您可以使用 Filter 菜单和 Search 框来查找策略。
选择您创建的策略旁边的单选按钮,然后选择操作在右上角。在此下拉列表中选择Attach.
选择用户、组或角色,然后选择 Attach Policy。您可以使用 Filter 菜单和 Search 框来筛选列表。
Select附加策略.
您也可以从 IAM 控制台创建一个内联策略并将该策略附加到 IAM 用户、组或角色,而不创建托管策略。有关更多信息,请参阅 。使用内联策略中的IAM 用户指南.
其他资源
要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅 IAM 用户指南中的使用控制台创建管理员组和权限与策略。