文章目录[隐藏]
在亚马逊AWS中经常需要使用IAM服务,当你创建根账户(即你的邮箱账户的时候),为了安全,接下来你就需要使用IAM创建不同权限的用户。
“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。
IAM登录地址:
https://XXXX(你的根账户id,这里可以在iam设置自定义名称).signin.aws.amazon.com/console
IAM登录页面:
MFA安全验证,可以手机安装个谷歌身份验证器,动态密码验证,增强安全性
登录后查看策略
什么是策略
策略可以理解为权限类型,AWS将不同的权限分门别类划分成了不同的策略项,以方便配置。
用户
用户不用过多的解释,这里就是AWS后台的登录用户。值得注意的是,在AWS后台注册后,会生成一个账户和默认的管理员用户,注意这两者的区别。之后还可以通过后台创建不同的用户,但都是创建在同一个账户下,账户ID是相同的,用户名不同。
用户组
用户组就是多个用户的集合。创建了用户组之后可以向其中添加多个用户。如果为用户组赋予了策略,则用户组织内所有的用户都拥有这些策略。
关于EC2的两个策略
我们来看看这两个关于EC2的策略:
-AmazonEC2FullAccess
-AmazonEC2ReadOnlyAccess
在控制台界面中:
这两个策略中,AmazonEC2FullAccess很好理解,它是关于EC2服务的全访问授权,对当前账户EC2服务的所有操作都可以进行。
对于AmazonEC2ReadOnlyAccess呢。从字面上看,貌似是对EC2的只读授权,那所谓的ReadOnly,是在哪个层次上呢,是对开启的EC2服务器只能进行只读操作而不能进行写操作吗?
其实不是的。这里的ReadOnly,是指后台EC2服务界面的所有访问操作,都是只读的。也就是说,你可以查看EC2的IP,可以看关于VPC的信息,可以查看目前系统中所有的安全组等;但涉及到对系统配置的改动操作,都是不被允许的。如你想添加VPC,或者对服务器进行停止、重启、终止,或者想创建一个网络接口,都不可以。但如果你登录到EC2服务器中,进行文件的创建、删除操作都是可以的,后台策略控制不到这个层次。
一般来说,设置访问策略可以这样:
1.创建用户
2.创建用户组
3.为用户组添加用户
4.为用户组添加策略
当然也可以创建不同角色,可以与其他账户关联,只关联角色。具体可以参考aws文档
本文地址: https://www.xiongge.club/aws/300.html
转载请注明:熊哥club → 关于AWS的IAM安全服务的使用
©熊哥club,本站推荐使用的主机:阿里云,CDN建议使用七牛云。
关注微信公众号『熊哥club』
免费提供IT技术指导交流
关注博主不迷路~
