适用于 Amazon EC2 的 Identity and Access Management
您的安全凭证使 AWS 中的服务可以识别您,并授予您对 AWS 资源(例如您的 Amazon EC2 资源)的无限制使用权限。您可以使用 Amazon EC2 和 AWS Identity and Access Management(IAM)的功能,在不共享您的安全证书情况下允许其他用户、服务和应用程序使用您的 Amazon EC2 资源。您可以使用 IAM 控制其他用户对您的 AWS 账户中资源的使用方式,并且您可以使用安全组来控制对您的 Amazon EC2 实例的访问。您可以选择授予 Amazon EC2 资源的完全使用或限制使用权限。
有关使用 IAM 保护您的 AWS 资源安全的最佳实践,请参阅 IAM 中的安全最佳实践。
内容
对您的实例的网络访问
安全组起着防火墙的作用,可用于控制允许达到一个或多个实例的流量。启动实例时,您可以为其分配一个或多个安全组。您需要添加规则至每个控制实例流量的安全组。您可以随时修改安全组的规则;新规则会自动应用于该安全组所分配到的所有实例。
有关更多信息,请参阅 为您的 Linux 实例授权入站流量。
Amazon EC2 权限属性
您的企业可能有多个 AWS 账户。借助 Amazon EC2,您可以指定能够使用您的亚马逊机器映像(AMI)和 Amazon EBS 快照的其他 AWS 账户。这些权限仅在 AWS 账户级别有效;您不能限制指定 AWS 账户内特定用户的权限。您指定的 AWS 账户中的所有用户均可使用 AMI 或快照。
每个 AMI 都拥有一个 LaunchPermission 属性,用于控制可以访问该 AMI 的 AWS 账户。有关更多信息,请参阅将 AMI 设为公用。
每个 Amazon EBS 快照都有一个 createVolumePermission 属性,用于控制哪些 AWS 账户可以使用该快照。有关更多信息,请参阅《Amazon EBS 用户指南》中的共享 Amazon EBS 快照。
IAM 和 Amazon EC2
IAM 允许您执行以下操作:
-
在 AWS 账户 下创建用户和组
-
为 AWS 账户 下的每个用户分配唯一的安全凭证
-
控制每个用户使用 AWS 资源执行任务的权限
-
允许另一 AWS 账户 中的用户共享 AWS 资源
-
为 AWS 账户 创建角色并定义可以担任这些角色的用户或服务
-
借助企业的现有身份,授予使用 AWS 资源执行任务的权限
通过将 IAM 与 Amazon EC2 配合使用,您可以控制企业中的用户能否使用特定的 Amazon EC2 API 操作执行任务,以及他们能否使用特定的 AWS 资源。
本主题有助于回答以下问题:
-
如何在 IAM 中创建组和用户?
-
如何创建策略?
-
在 Amazon EC2 中执行任务时我需要哪些 IAM policy?
-
如何授予在 Amazon EC2 中执行操作的权限?
-
如何授予在 Amazon EC2 中对特定资源执行操作的权限?
创建用户、组和角色
您可以为自己的 AWS 账户 创建用户和组,然后为其分配所需权限。作为最佳实践,用户应通过担任 IAM 角色来获取权限。有关如何为 AWS 账户 设置用户和组的更多信息,请参阅设置以使用 Amazon EC2。
IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。有关如何创建 IAM 角色并向其授予权限的更多信息,请参阅 Amazon EC2 的 IAM 角色。
相关 主题
有关 IAM 的更多信息,请参阅以下文档:
