Amazon EC2 的 Identity and Access Management - Amazon Elastic Compute Cloud

Amazon EC2 的 Identity and Access Management

您的安全憑證會在 AWS 服務中識別您,並授予您無限制使用 AWS 資源 (例如您的 Amazon EC2 資源)。您可使用 Amazon EC2 和 AWS Identity and Access Management (IAM) 的功能來允許其他使用者、服務和應用程式使用您的 Amazon EC2 資源,但不共用您的安全憑證。您可使用 IAM 來控制其他使用者使用您 AWS 帳戶內資源的方式,也可使用安全群組來控制對 Amazon EC2 執行個體的存取。您可選擇授予 Amazon EC2 資源的完全使用或有限制使用的權限。

如需保護使用 IAM 的 AWS 資源的最佳實務,請參閱 IAM 中的安全最佳實務

網路存取您的執行個體

安全群組就像是防火牆,控制允許傳到一個以上執行個體的流量。啟動執行個體時,您會為其指派一個或多個安全群組。您須於每個安全群組新增規則,藉此控制執行個體的流量。您可以隨時修改安全群組的規則。新規則會自動套用至指派安全群組的所有執行個體。

如需詳細資訊,請參閱 授權 Windows 執行個體的傳入流量

Amazon EC2 許可屬性

您的組織可能有多個 AWS 帳戶。Amazon EC2 可讓您指定其他能夠使用您 Amazon Machine Image (AMI) 和 Amazon EBS 快照的 AWS 帳戶。這些許可僅適用 AWS 帳戶層級,因此您無法針對指定 AWS 帳戶內的特定使用者限制許可。您在 AWS 帳戶內指定的所有使用者,都能夠使用 AMI 或快照。

每個 AMI 都具有 LaunchPermission 屬性,可用此控制能夠存取該 AMI 的 AWS 帳戶。如需詳細資訊,請參閱 使 AMI 公有化

每個 Amazon EBS 快照都具有 createVolumePermission 屬性,可用於控制能夠使用該快照的 AWS 帳戶。如需詳細資訊,請參閱 共享 Amazon EBS 快照

IAM 和 Amazon EC2

IAM 可讓您執行以下項目:

  • 透過 AWS 帳戶建立使用者與群組

  • 將唯一安全登入資料指派給 AWS 帳戶下的每位使用者

  • 控制每個使用者使用 AWS 資源執行任務的許可

  • 允許另一個 AWS 帳戶內的使用者共享您的 AWS 資源

  • 為您的 AWS 帳戶建立角色,並定義可擔任這些角色的使用者或服務

  • 使用您企業現有的身分來授予使用 AWS 資源執行任務的許可

搭配 Amazon EC2 使用 IAM,您可以控制組織中的使用者是否可以使用特定的 Amazon EC2 API 動作來執行任務,以及是否可以使用特定的 AWS 資源。

本主題能夠回答下列問題:

  • 如何在 IAM 內建立群組與使用者?

  • 如何建立政策?

  • 在 Amazon EC2 內執行任務需要什麼 IAM 政策?

  • 如何授予在 Amazon EC2 內執行動作的許可?

  • 如何授予在 Amazon EC2 內特定資源上執行動作的許可?

建立 IAM 群組和使用者

建立 IAM 群組

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 User groups (使用者群組)。

  3. 選擇 Create group (建立群組)。

  4. 針對 User group name (使用者群組名稱),請輸入群組的名稱。

  5. 針對 Attach permissions policies (連接許可政策),請選取 AWS 受管政策。例如,下列其中一個 AWS 受管政策可滿足您的 Amazon EC2 需求:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  6. 選擇 Create group (建立群組)。

您的新群組會列在 Group name (群組名稱) 下。

建立一個 IAM 使用者、將該使用者新增至您的群組並為其建立密碼

  1. 在導覽窗格中,選擇 Users (使用者)。

  2. 選擇 Add users (新增使用者)。

  3. 針對 User name (使用者名稱),輸入使用者名稱。

  4. 針對 Select AWS access type (選取存取類型),請同時選取 Access key - Programmatic access (存取金鑰 – 程式設計存取) 與 Password - AWS Management Console access (密碼 – 存取)。

  5. 針對 Console password (主控台密碼),選擇以下其中一項:

    • Autogenerated password (自動產生密碼)。每個使用者都會取得符合目前有效之密碼政策 (如果有) 的隨機產生密碼。您可在進入 Final (最終) 頁面時檢視或下載密碼。

    • Custom password (自訂密碼)。每個使用者都會指派您於方塊內輸入的密碼。

  6. 選擇 Next: Permissions (下一步:許可)。

  7. Set permissions (設定使用者的許可) 頁面上,選擇 Add user to group (新增使用者至群組)。選取您稍早建立之群組旁的核取方塊。

  8. 選擇 Next: Tags (下一步:標籤)

  9. (選用) 藉由連接標籤做為索引鍵/值組,將中繼資料新增至使用者。如需在 IAM 中使用標籤的詳細資訊,請參閱標記 IAM 資源

  10. 選擇 Next: Review (下一步:檢閱),查看您目前為止所做的所有選擇。準備好繼續時,請選擇 Create user (建立使用者)

  11. 若要檢視使用者的存取金鑰 (存取金鑰 ID 和私密存取金鑰),請選擇欲查看的每個密碼和私密存取金鑰旁的 Show (顯示)。若要儲存取金鑰,請選擇 Download .csv,然後將檔案儲存到安全的位置。

    重要

    此步驟完成後,就無法再次擷取此私密存取金鑰;若您遺忘其位置,則必須建立新的。

  12. 為每個使用者提供其登入資料 (存取金鑰與密碼),讓他們依據您為 IAM 群組指定的許可來使用服務。您可以選擇每位使用者旁的 Send email (傳送電子郵件)。您的本機郵件用戶端會開啟可供您自訂和傳送的草稿。電子郵件範本包含每位使用者的以下詳細資訊:

    • 使用者名稱

    • 帳戶登入頁面的 URL。使用以下範例,取代正確的帳戶 ID 號碼或帳戶別名:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    如需詳細資訊,請參閱 IAM 使用者如何登入 AWS

    重要

    使用者的密碼不會包含在產生的電子郵件中。您必須遵守您組織的安全準則來提供它們給使用者。

  13. 選擇 Close (關閉)。

如需 IAM 的詳細資訊,請參閱下列各項: