Amazon EC2 的 Identity and Access Management

您的安全登入資料可識別您的服務， AWS 並授予您無限制地使用您的 AWS 資源，例如 Amazon EC2 資源。您可使用 Amazon EC2 和 AWS Identity and Access Management (IAM) 的功能來允許其他使用者、服務和應用程式使用您的 Amazon EC2 資源，但不共用您的安全憑證。您可以使用 IAM 控制其他使用者如何使用您 AWS 帳戶中的資源，也可以使用安全群組控制對 Amazon EC2 執行個體的存取。您可選擇授予 Amazon EC2 資源的完全使用或有限制使用的權限。

如需使用 IAM 保護資 AWS 源安全的最佳實務，請參閱 IAM 中的安全性最佳實務。

目錄

• 網路存取您的執行個體
• Amazon EC2 許可屬性
• IAM 和 Amazon EC2
• 適用於 Amazon EC2 的 IAM 政策
• AWS Amazon EC2 的受管政策
• Amazon EC2 的 IAM 的角色

網路存取您的執行個體

安全群組就像是防火牆，控制允許傳到一個以上執行個體的流量。啟動執行個體時，您會為其指派一個或多個安全群組。您須於每個安全群組新增規則，藉此控制執行個體的流量。您可以隨時修改安全群組的規則。新規則會自動套用至指派安全群組的所有執行個體。

如需詳細資訊，請參閱 安全群組規則。

Amazon EC2 許可屬性

您的組織可能有多個 AWS 帳戶。Amazon EC2 可讓您指定可以使用 Amazon 機器映像 (AMI) 和 Amazon EBS 快照的其他 AWS 帳戶。這些權限僅適用於 AWS 帳戶層級；您無法限制指定 AWS 帳戶內特定使用者的權限。您在 AWS 帳戶內指定的所有使用者，都能夠使用 AMI 或快照。

每個 AMI 都具有 LaunchPermission 屬性，可用此控制能夠存取該 AMI 的 AWS 帳戶。如需詳細資訊，請參閱 使 AMI 公有化。

每個 Amazon EBS 快照都有一個createVolumePermission屬性，可控制哪些 AWS 帳戶可以使用快照。如需詳細資訊，請參閱 Amazon EBS 使用者指南中的共用 Amazon EBS 快照。

IAM 和 Amazon EC2

IAM 可讓您執行以下項目：

• 建立使用者和群組 AWS 帳戶

• 為您下的每個用戶分配唯一的安全憑據 AWS 帳戶

• 控制每個使用者使用 AWS 資源執行工作的權限

• 允許其他 AWS 帳戶 用戶共享您的 AWS 資源

• 為您的角色建立角色， AWS 帳戶 並定義可以擔任他們的使用者或服務

• 使用企業的現有身分識別授與使用 AWS 資源執行工作的權限

搭配 Amazon EC2 使用 IAM，您可以控制組織中的使用者是否可以使用特定的 Amazon EC2 API 動作來執行任務，以及是否可以使用特定的 AWS 資源。

本主題能夠回答下列問題：

• 如何在 IAM 內建立群組與使用者？

• 如何建立政策？

• 在 Amazon EC2 內執行任務需要什麼 IAM 政策？

• 如何授予在 Amazon EC2 內執行動作的許可？

• 如何授予在 Amazon EC2 內特定資源上執行動作的許可？

建立使用者、群組和角色

您可以為您的建立使用者 AWS 帳戶 和群組，然後為他們指派所需的權限。作為最佳實務，使用者應透過擔任 IAM 角色來取得許可。

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色與 IAM 使用者類似，因為它是具有許可政策的 AWS 身分識別，可決定身分可以執行和不能在其中執行的操作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。如需如何建立 IAM 角色並向其授與許可的詳細資訊，請參閱Amazon EC2 的 IAM 的角色。

相關主題

如需 IAM 的詳細資訊，請參閱下列各項：

• 適用於 Amazon EC2 的 IAM 政策

• Amazon EC2 的 IAM 的角色

• AWS Identity and Access Management (IAM)

• IAM 使用者指南