适用于 Amazon EC2 的 Identity and Access Management - Amazon Elastic Compute Cloud

适用于 Amazon EC2 的 Identity and Access Management

您的安全凭证使 AWS 中的服务可以识别您,并授予您对 AWS 资源(例如您的 Amazon EC2 资源)的无限制使用权限。您可以使用 Amazon EC2 和 AWS Identity and Access Management(IAM)的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您的 AWS 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。

有关使用 IAM 保护您的 AWS 资源安全的最佳实践,请参阅 IAM 中的安全最佳实践

对您的实例的网络访问

安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。

有关更多信息,请参阅为您的 Linux 实例授权入站流量

Amazon EC2 权限属性

您的企业可能有多个 AWS 账户。借助 Amazon EC2,您可以指定能够使用您的 Amazon Machine Image(AMI)和 Amazon EBS 快照的其他 AWS 账户。这些权限仅在 AWS 账户级别有效;您不能限制指定 AWS 账户内特定用户的权限。您指定的 AWS 账户中的所有用户均可使用 AMI 或快照。

每个 AMI 都拥有一个 LaunchPermission 属性,用于控制可以访问该 AMI 的 AWS 账户。有关更多信息,请参阅将 AMI 设为公用

每个 Amazon EBS 快照都有一个 createVolumePermission 属性,用于控制哪些 AWS 账户可以使用该快照。有关更多信息,请参阅共享 Amazon EBS 快照

IAM 和 Amazon EC2

IAM 允许您执行以下操作:

  • 在您的 AWS 账户下创建用户和组

  • 为您的 AWS 账户下的每个用户分配唯一的安全凭证

  • 控制每个用户使用 AWS 资源执行任务的权限

  • 允许另一 AWS 账户的用户共享您的 AWS 资源

  • 创建 AWS 账户角色并定义可以担任这些角色的用户或服务

  • 借助企业的现有身份,授予使用 AWS 资源执行任务的权限

通过将 IAM 与 Amazon EC2 配合使用,您可以控制企业中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 AWS 资源。

本主题有助于回答以下问题:

  • 如何在 IAM 中创建组和用户?

  • 如何创建策略?

  • 在 Amazon EC2 中执行任务时我需要哪些 IAM policy?

  • 如何授予在 Amazon EC2 中执行操作的权限?

  • 如何授予在 Amazon EC2 中对特定资源执行操作的权限?

创建 IAM 组和用户

创建 IAM 组

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 User groups (用户组)

  3. 选择创建组

  4. 对于 User group name(用户组名称),输入组的名称。

  5. 对于 Attach permissions policies(附加权限策略),选择一个 AWS 托管式策略。例如,对于 Amazon EC2,下列 AWS 托管策略之一可能符合您的需求:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  6. 选择创建组

您的新组将在 Group Name(组名称)下列出。

创建 IAM 用户,将该用户添加到您的组中,并为该用户创建密码

  1. 在导航窗格中,选择 Users(用户)。

  2. 选择 Add Users(添加用户)。

  3. 对于 User name (用户名),请输入用户名。

  4. 对于 Select AWS access type(选择 AWS 访问类型),同时选择 Access key - Programmatic access(访问密钥 – 编程访问)和 Password - AWS Management Console access(密码 – AWS Management Console访问)。

  5. 对于 Console password (控制台密码),选择下列选项之一:

    • 自动生成的密码。每个用户将获得一个随机生成的密码,该密码符合当前生效的密码策略 (如果有)。在转到完成页面后,您可以查看或下载密码。

    • 自定义密码。向每个用户分配您在框内输入的密码。

  6. 选择 Next: Permissions (下一步: 权限)

  7. 设置权限页面上,选择将用户添加到组。选中您之前创建的组旁边的复选框。

  8. 选择下一步: 标签

  9. (可选) 通过以键值对的形式附加标签来向用户添加元数据。有关将在 IAM 中使用标签的更多信息,请参阅 Tagging IAM resources(标记 IAM 资源)。

  10. 选择 Next: Review 以查看您此时已做出的所有选择。如果您已准备好继续,请选择 Create user(创建用户)。

  11. 要查看用户的访问密钥 (访问密钥 ID 和秘密访问密钥),请选择您要查看的每个密码和秘密访问密钥旁边的 Show。要保存访问密钥,请选择下载 .csv,然后将文件保存到安全位置。

    重要

    完成此步骤之后您将无法检索秘密访问密钥;如果放错了位置,则必须创建一个新的。

  12. 为每个用户提供凭证(访问密钥和密码);从而让用户能够根据您为该 IAM 组指定的权限使用服务。您可以选择每个用户旁边的 Send email(发送电子邮件)。您的本地邮件客户端将打开并显示一份草稿,您可以对草稿进行自定义并发送。电子邮件模板包括每个用户的以下详细信息:

    • 用户名称

    • 账户登录页面的 URL。使用以下示例,换入正确的账户 ID 号或账户别名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    有关更多信息,请参阅 IAM 用户如何登录 AWS

    重要

    用户的密码 包括在生成的电子邮件中。您必须以符合您组织的安全准则的方式向用户提供密码。

  13. 选择 Close(关闭)。

有关 IAM 的更多信息,请参阅以下文档: