设置Amazon账户、用户和角色 - Amazon软件开发工具包和工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置Amazon账户、用户和角色

I AM 用户指南始终是安全控制资源访问的最佳Amazon资源。IAM 用户指南中的身份(用户、群组和角色)更深入地介绍了这些基础概念。

角色允许您获得Amazon使用现有身份的访问权限。您可以从外部身份提供商(如 Active Directory 或 Okta)联合进来,也可以代入来自其他用户或内部角色的角色Amazon。您可以使用角色安全地构建应用程序,方法是为不同的工作职能担任不同的角色,并将有权访问敏感数据的角色与其他身份分开。

当你没有其他身份可以连接时,用户就是为你准备Amazon的。如果您需要一个入口点Amazon但没有单独的身份提供者,则可以创建一个用户来登录Amazon,这样就不必使用Amazon Web Services 账户根用户了。用户拥有的证书有效期很长,您应该定期轮换。如果您需要使用用户Amazon,我们建议您仅使用该用户登录,Amazon然后再代入可以执行您的工作职能的角色。

尽管用户是开始使用Amazon服务的好方法,但我们建议所有开发人员考虑设置单点登录以进行访问。有关更多信息,请参阅单点登录 (SSO)

注册一个 Amazon Web Services 账户

如果您还没有 Amazon Web Services 账户,请完成以下步骤来创建一个。

注册 Amazon Web Services 账户
  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

    当您注册 Amazon Web Services 账户 时,系统将会创建一个 Amazon Web Services 账户根用户。根用户有权访问该账户中的所有 Amazon Web Services和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户访问权限的任务

Amazon注册过程完成后,会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/ 并选择 My Account (我的账户) 来查看当前的账户活动并管理您的账户。

保护 IAM 用户

注册 Amazon Web Services 账户 后,应启用多重身份验证(MFA)来保护您的管理用户。有关说明,请参阅《IAM 用户指南》中的为 IAM 用户启用虚拟 MFA 设备(控制台)

要授予其他用户访问您的 Amazon Web Services 账户 资源的权限,请创建 IAM 用户。要保护您的 IAM 用户,请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息,请参阅《IAM 用户指南》中的以下主题:

管理员用户仍然授予对大多数内容的完全访问权限-这不适合在上面进行 SDK 开发Amazon或运行应用程序,Amazon因为你想获得最低权限权限。

创建 IAM 用户代入

用户帐户是开始开发应用程序以使用Amazon服务的好方法。IAM 用户指南中详细介绍了 IAM 用户

要以编程方式与之交互Amazon,一种选择是创建 IAM 用户并为该用户获取证书。然后,通过将它们保存到共享Amazoncredentials文件中,使它们可供开发环境中的 SDK/Tool 使用。

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 “用户”,然后选择 “添加用户”。

  3. 提供用户名称。

  4. “选择Amazon访问类型” 下,选择 “编程访问”,然后选择 “下一步:权限”。

  5. 选择 “直接附加现有策略”,然后为您的应用程序将使用的Amazon服务选择相应的策略

    例如,如果您希望您的应用程序具有对 Amazon S3 服务的完全访问权限:在 “搜索” 中,输入s3,然后选择 AmazonS3FullAccess 作为附加到该用户的策略。有关策略的最佳实践,请参阅 IAM 用户指南中的授予最低权限

    警告

    AdministratorAccess政策允许您账户中几乎所有内容的读取和写入权限。我们建议选择更严格的发展政策。

  6. 选择 “下一步:标签”,然后输入所需的任何标签。

    您可以在 IAM 用户指南中的使用Amazon资源标签控制访问中找到标签相关的信息。

  7. 选择 “下一步:查看”,然后选择 “创建用户”。

  8. 在 “成功” 屏幕上,选择Download .csv

    下载的文件包含此 IAM 用户的访问密钥 ID 和私有访问密钥。

    注意

    您将没有其他机会下载或复制私有访问密钥。

    将您的私有访问密钥视为密码;保存在可信位置,请勿共享。

    警告

    使用适当的安全措施来确保这些凭证的安全和轮换。请参阅 IAM 用户指南中的 IAM 安全最佳实践

    现在,您拥有该用户的证书。为了使 SAmazon DK 或工具能够使用这些证书,可以将它们放入共享Amazoncredentials文件中。

  9. 创建或打开共享credentials文件。此文件位~/.aws/credentials于 Linux 和 macOS 系统以及 Windows%USERPROFILE%\.aws\credentials 上。有关更多信息,请参阅凭证文件的位置

  10. 将以下文本添加到共享credentials文件中,但将示例 ID 值和示例密钥值替换为您之前获得的值。

    [default] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  11. 保存该文件。

《IAM 用户指南》中的 “创建 IAM 用户”(控制台)中全面介绍了如何浏览添加用户控制台中的所有选项

请注意,还有其他存储凭据的方法(例如可用的 SDK Stor eAmazon SDK for .NET),但共享credentials文件是最常见的。

创建 IAM 角色

角色旨在Amazon让任何需要它的用户代入。IAM 角色IAM 用户指南中有详细介绍

创建服务角色的过程因情况而异,但本质上如下。

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Role,然后选择 Create role

  3. 选择Amazon服务

  4. “选择用例” 下,选择您想要允许代表您呼叫服务的服务。

    例如,如果您使用的是 Amazon EC2 服务,则选择 EC2 作为您的用例。

  5. 选择下一步:权限,然后为您的应用程序将使用的Amazon服务选择相应的策略

    例如,如果您希望您的应用程序拥有对 Amazon EC2 服务的完全访问权限:在 “搜索” 中,输入ec2,然后选择 Amazonec2FullAccess 作为要附加的策略。有关策略的最佳实践,请参阅 IAM 用户指南中的授予最低权限

    警告

    AdministratorAccess政策允许您账户中几乎所有内容的读取和写入权限。我们建议选择更严格的发展政策。

  6. 选择 “下一步:标签”,然后输入所需的任何标签。

    您可以在 IAM 用户指南中的使用Amazon资源标签控制访问中找到标签相关的信息。

  7. 选择下一步:查看并提供角色名称角色描述。然后选择 Create role (创建角色)

IAM 用户指南》中的 “为Amazon服务创建角色(控制台)” 一节全面介绍了如何浏览创建角色控制台向导中的所有选项