Identity and Access Management - Amazon Toolkit for Eclipse
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Identity and Access Management

Amazon Identity and Access Management通过 (IAM),您可以控制哪些人能访问Amazon资源以及他们能使用他们做什么。这些区域有:Amazon利用 Explorer,您可以创建和管理 IAM 用户、组和角色。您也可以为用户设置一个密码策略,该策略可让您指定密码要求 (如最小长度),并可让您指定是否允许用户更改自己的密码。

注意

这是一个最佳实践所有用户,甚至是帐户所有者访问Amazon资源作为 IAM 用户。这可确保在某个 IAM 用户的凭证泄露的情况下,无需更改账户的根凭证即可撤销受影响的凭证。

关于 Amazon Identity and Access Management

您可以创建 IAM 用户(每个用户均可有自己的密码和安全凭证),而不是共享账户的密码和安全凭证(访问密钥 ID 和秘密访问密钥)。随后,您可以向用户附加策略,在策略中指定权限以确定用户能执行哪些操作以及用户能访问哪些资源。

为方便起见,您可以创建 IAM 组(例如 AdminsDevelopers),向其附加策略,然后将用户添加到这些组,而不是向单个用户添加策略。您还可以创建具有带权限的策略的角色。角色可由其他账户中的用户、服务以及没有 IAM 身份的用户代入。有关 IAM 的更多信息,请参阅 IAM 用户指南

创建 IAM 用户

您可以创建 IAM 用户,以便您组织中的其他人可以有自己的Amazon身份。您可以将 IAM 策略附加到用户或将用户分配到组,由此向 IAM 用户分配权限。分配到某个组的 IAM 用户将从附加到该组的策略派生其权限。有关更多信息,请参阅创建 IAM 组将 IAM 用户添加到 IAM 组

通过使用 Toolkit,您还可以生成Amazon凭证 (访问密钥 ID 和秘密访问密钥)。有关更多信息,请参阅管理 IAM 用户的凭证

创建 IAM 用户

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击用户节点,然后选择创建新用户.

  2. Create New Users (创建新用户) 对话框中,为新 IAM 用户输入最多 5 个名称,然后单击 Finish (完成)。有关 IAM 用户名称的约束信息,请参阅IAM 实体的限制中的IAM 用户指南.

有关向组添加用户的信息,请参阅将 IAM 用户添加到 IAM 组。有关如何创建策略并将其附加到用户的信息,请参阅将 IAM 策略附加到用户、组或角色

创建 IAM 组

您可以将 IAM 用户添加到组,以便更轻松地管理权限。附加到组的任何权限均适用于该组中的任何用户。有关 IAM 组的更多信息,请参阅使用用户和组中的IAM 用户指南.

当您创建一个组时,您可以创建一个策略,其中包含该组的成员将具有的权限。

创建 IAM 组

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击Groups节点,然后选择创建新组.

  2. 输入新 IAM 组的名称,然后单击 Next (下一步)

  3. 输入策略的名称,该策略确立组成员可执行的操作。以 JSON 文档的形式输入策略,然后单击 OK (确定)

    该策略名称在您的账户内必须是唯一的。您为策略输入的 JSON 必须确认有效,否则您将无法保存策略。有关如何创建策略的信息,请参阅策略概述中的IAM 用户指南.

  4. 单击 Finish (完成)

有关将其他策略附加到 IAM 组的信息,请参阅将 IAM 策略附加到用户、组或角色

将 IAM 用户添加到 IAM 组

如果将一个 IAM 用户添加到组,则已附加到组的任何策略也对该用户生效。有关 IAM 用户的更多信息,请参阅用户和群组中的IAM 用户指南.

将 IAM 用户添加到 IAM 组

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击Groups节点,然后选择打开组编辑器. 请注意,您将从Groups在中的节点AmazonExplorer而不是从用户节点。

  2. Groups (组) 编辑器中,选择要将用户添加到的组,然后单击 Users (用户) 选项卡。

  3. 在底部窗格的右侧,单击 Add Users (添加用户) 按钮。

  4. Add Users to Group (将用户添加到组) 对话框中,选择要添加的用户,然后单击 OK (确定)

管理 IAM 用户的凭证

对于每个用户,您可以添加一个密码。IAM 用户使用密码Amazon中的资源Amazon Web Services Management Console.

为 IAM 用户创建密码

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击用户节点,然后选择打开用户编辑器.

  2. 在用户列表中,选择要为其创建密码的用户,然后单击 Summary (摘要) 选项卡。

  3. 在底部窗格的右侧,单击 Update Password (更新密码) 按钮。

  4. Update User Password (更新用户密码) 对话框中,输入密码,然后单击 OK (确定)

    注意

    新密码将覆盖任何现有密码。

您还可以为每个用户生成一组访问密钥 (访问密钥 ID 和秘密访问密钥)。这些密钥可用于表示用户以编程方式访问Amazon-例如,要使用Amazon命令行界面 (CLI)、使用 SDK 签名编程请求,或访问Amazon服务。(有关如何指定与 Toolkit 一起使用的凭证的信息,请参阅设置Amazon凭证。)

为 IAM 用户生成访问密钥

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击用户节点,然后选择打开用户编辑器.

  2. 在用户列表中,选择要为其生成密钥的用户,然后单击 Summary (摘要) 选项卡。

  3. 单击 Manage Access Keys (管理访问密钥) 按钮。

    将显示一个窗口,您可以在其中管理用户的访问密钥。

  4. 单击 Create Access Key (创建访问密钥) 按钮。

    将显示 Manage Access Key (管理访问密钥) 对话框。

  5. 单击 Download (下载) 按钮,下载包含已生成的凭证的逗号分隔值 (CSV) 文件。

    注意

    这将是您查看和下载这些访问密钥的唯一机会。如果您丢失了这些密钥,则必须将其删除并创建一组新的访问密钥。

您只能为每个 IAM 用户生成两组凭证。如果您已经有两组凭证并需要再创建一组凭证,则必须先删除现有的凭证组之一。

您还可以停用凭证。在这种情况下,凭证仍然存在,但对Amazon使用这些凭据创建的文件将失败。如果您希望临时禁用对Amazon针对该组凭证。您可以重新激活之前已停用的凭证。

删除、停用或重新激活 IAM 用户的访问密钥

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击用户节点,然后选择打开用户编辑器.

  2. 在用户列表中,选择要为其管理访问密钥的用户,单击 Summary (摘要) 选项卡,然后单击 Manage Access Keys (管理访问密钥) 按钮。

  3. 在列出了该用户的访问密钥的窗口中,右键单击要管理的凭证,然后选择下列选项之一:

    • Delete Access Key (删除访问密钥)

    • Make Inactive (转为非活动)

    • Make Active (转为活动)

创建 IAM 角色

使用AmazonToolkit,您可以创建 IAM角色. 然后,该角色可以是假定通过您希望允许其访问Amazon资源的费用。附加到角色的策略将确定谁能够担任角色(受信任实体委托人),以及这些实体可执行哪些操作。

在 Toolkit 中,您可以指定以下可信实体:

  • 网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon服务。例如,您可以指定 Amazon EC2 可以调用其他Amazon服务或Amazon Data Pipeline允许管理 Amazon EC2 实例。这称作服务角色

  • 您拥有的其他账户。如果您有多个Amazon账户,则可能需要允许某个账户中的用户使用角色来获取对您的另一个账户中的资源的访问权限。

  • 一个第三方账户。您可以允许第三方供应商管理Amazon资源的费用。在这种情况下,您可以创建一个角色,其中可信实体为第三方的Amazonaccount.

在您指定谁是可信实体之后,可以指定一个策略来确定允许角色执行的操作。

例如,您可以创建一个角色并将只允许访问您的其中一个 Amazon S3 存储桶的策略附加到该角色。随后,您可以将该角色与 Amazon EC2 实例关联。当一个应用程序在 Amazon EC2 实例上运行时,该应用程序只能访问角色策略允许您访问的 Amazon S3 存储桶。

有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色

创建 IAM 角色

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点中,右键单击击角色节点,然后选择创建新角色.

  2. 输入 IAM 角色的名称,然后单击 Next (下一步)

  3. 选择角色的可信实体。若要创建服务角色,请选择Amazon服务角色,然后从下拉列表中选择服务角色。

    为用户提供访问权限,该用户在其他Amazon您拥有的帐户,选择账户 ID,然后输入Amazon另一个帐户的帐号。

    要为第三方账户提供访问权限,请选择账户 ID并输入第三方的Amazon账号。如果第三方还提供了外部 ID,请同时输入此 ID。

  4. 单击 Next (下一步)

  5. 输入策略的名称,该策略确立角色可执行的操作。随后,以 JSON 文档的形式输入策略,然后单击 OK (确定)

    该策略名称在您的账户内必须是唯一的。您为策略输入的 JSON 必须确认有效,否则您将无法保存策略。有关如何创建策略的信息,请参阅使用 IAM 指南中的策略概述

  6. 单击 Finish (完成)

    新的 IAM 角色将显示在 Roles (角色) 编辑器中。

有关演示如何访问Amazon使用与 Amazon EC2 实例关联的 IAM 角色,请参阅使用 IAM 角色授予AmazonAmazon EC2 上的资源中的Amazon SDK for Java开发人员指南.

将 IAM 策略附加到用户、组或角色

策略是定义权限的文档。例如,附加到用户的策略可指定Amazon操作以及用户可对其执行操作的资源。如果将策略附加到一个组,则权限适用于该组中的用户。如果将策略附加到一个角色,则权限应用于代入该角色的人员。

将策略附加到用户或组的过程类似。对于角色,您可以附加一个指定角色可执行的操作的策略。您使用单独的过程来附加或编辑用于确定可代入角色 (即,管理信任关系) 的人员的策略。

注意

如果您之前已将一个策略附加到用户、组或角色,则可以使用此过程来附加额外的策略。要编辑用户、组或角色的现有策略,请使用 IAM 控制台、命令行工具或 API 调用。

为用户、组或角色创建 IAM 策略

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点,然后双击Groups节点,用户节点,或角色节点。

  2. 选择要将策略附加到的组、用户或角色,然后单击 Permissions (权限) 选项卡。

  3. 在底部窗格的右侧,单击 Attach Policy (附加策略) 按钮。

  4. Manage Group Policy (管理组策略)Manage User Policy (管理用户策略)Manage Role Permissions (管理角色权限) 对话框中,输入策略的名称。随后,以 JSON 文档的形式输入策略,然后单击 OK (确定)

    该策略名称在您的账户内必须是唯一的。您为策略输入的 JSON 必须确认有效,否则您将无法保存策略。有关如何创建策略的信息,请参阅IAM 策略概述中的IAM 用户指南.

为角色创建或管理信任关系

  1. InAmazonExplorer中,展开AmazonIdentity and Access Management节点,然后双击角色节点。

  2. Roles (角色) 编辑器中,选择要管理的角色,然后单击 Trust Relationships (信任关系) 选项卡。

  3. 在底部窗格的右侧,单击 Edit Trust Relationship (编辑信任关系) 按钮。

  4. Edit Trust Relationship (编辑信任关系) 对话框中,编辑 JSON 策略文档,然后单击 OK (确定)

设置密码策略

在 Eclipse 工具包中,您可以为您的账户设置密码策略。这使您能够确保为 IAM 用户创建的密码遵循特定的长度和复杂性准则。这还可让您指定是否允许用户更改其密码。有关更多信息,请参阅 。管理 IAM 密码策略中的IAM 用户指南.

为用户或组创建 IAM 策略

  1. InAmazonExplorer在下,Identity and Access Management中,双击密码策略节点。

  2. 密码策略窗格中,指定所需的策略选项Amazon帐户,然后单击应用密码策略.