建立角色和連接政策 (主控台) - AWS Identity and Access Management
範例 1:設定使用者做為資料庫管理員 (主控台)範例 2:設定使用者做為網路管理員 (主控台)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立角色和連接政策 (主控台)

數個先前列出的政策授予能力,可讓您使用角色設定 AWS 服務,那些角色可代表您啟用服務以執行操作。工作職能政策會指定確切的角色名稱,您必須使用或至少包含字首,其指定可用名稱的第一個部分。若要建立這些角色之一,請執行下列程序中的步驟。

建立 AWS 服務 的角色 (IAM 主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. 對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務

  4. 對於服務或使用案例,請選擇服務,然後選擇使用案例。服務會定義使用案例,以包含服務所需的信任政策。

  5. 選擇下一步

  6. 對於權限原則,選項取決於您選取的使用案例:

    • 如果服務定義了角色的權限,您就無法選取權限原則。

    • 從一組有限的權限原則中進行選取。

    • 從所有權限原則中選取。

    • 選取 [無權限原則],建立角色後建立原則,然後將原則附加至角色。

  7. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    1. 開啟 [設定權限界限] 區段,然後選擇 [使用權限界限] 控制最大角色權限

      IAM 在您的帳戶中包含受AWS管政策和客戶管理政策的清單。

    2. 選取用於許可界限的政策。

  8. 選擇下一步

  9. 對於角色名稱,選項取決於服務:

    • 如果服務定義了角色名稱,您就無法編輯角色名稱。

    • 如果服務定義了角色名稱的前置詞,您可以輸入選擇性的尾碼。

    • 如果服務未定義角色名稱,您可以命名角色。

      重要

      命名角色時,請注意下列事項:

      • 角色名稱在您的內部必須是唯一的AWS 帳戶,並且不能根據大小寫使用唯一。

        例如,請勿建立同時命名為PRODROLE和的角色prodrole。當角色名稱用於策略中或作為 ARN 的一部分時,角色名稱會區分大小寫,但是當主控台中的客戶 (例如在登入程序期間) 顯示角色名稱時,角色名稱不區分大小寫。

      • 您無法在建立角色之後編輯該角色的名稱,因為其他實體可能會參照該角色。

  10. (選擇性) 在說明中,輸入角色的說明。

  11. (選擇性) 若要編輯角色的使用案例和權限,請在步驟 1:選取信任的實體步驟 2:新增權限區段中,選擇編輯

  12. (選擇性) 若要協助識別、組織或搜尋角色,請將標籤新增為鍵值配對。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源

  13. 檢閱角色,然後選擇 Create role (建立角色)。

範例 1:設定使用者做為資料庫管理員 (主控台)

此範例顯示設定 IAM 使用者 Alice 作為資料庫管理員所需的步驟。您使用該區段中表格第一列的資訊,並允許使用者啟用 Amazon RDS 監控。您可以將DatabaseAdministrator政策附加到愛麗絲的 IAM 使用者,以便他們可以管理 Amazon 資料庫服務。該政策也允許 Alice 將稱為 rds-monitoring-role 的角色傳遞到 Amazon RDS 服務,讓該服務代表他們來監控 Amazon RDS 資料庫。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 選擇政策,在搜尋方塊中輸入 database,然後按下 Enter 鍵。

  3. 選取DatabaseAdministrator原則的圓鈕,選擇 [動作],然後選擇 [附加]。

  4. 在實體清單中,選取 Alice,然後選擇連接政策。Alice 現在可以管理 AWS 資料庫。不過,為允許 Alice 來監控這些資料庫,您必須設定服務角色。

  5. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  6. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon RDS

  7. 選擇 Amazon RDS Role for Enhanced Monitoring (增強監控的 Amazon RDS 角色) 使用案例。

  8. Amazon RDS 定義角色的許可。選擇 Next: Review (下一步:檢閱) 以繼續進行。

  9. 角色名稱必須是 Alice 現在擁有的 DatabaseAdministrator 原則所指定的名稱之一。其中一個是 rds-monitoring-role。為 Role name (角色名稱) 輸入該名稱。

  10. (選用) 在 Role description (角色說明) 中,輸入新角色的說明。

  11. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  12. Alice 現在可以在 Amazon RDS 主控台的 Monitoring (監控) 區段中啟用 RDS Enhanced Monitoring (RDS 增強型監控)。例如,他們在建立資料庫執行個體、建立讀取複本或修改資料庫執行個體時,他們可能執行此操作。將 [啟用增強型監視] 設為 [] 時,必須在 [監視角色] 方塊中輸入自己建立的角色名稱 (rds-monitoring-role)。

範例 2:設定使用者做為網路管理員 (主控台)

此範例顯示設定 IAM 使用者 Jorge 作為網路管理員所需的步驟。它使用該區段中表格的資訊,允許 Jorge 監控進出 VPC 的 IP 流量。它還允許豪爾赫(Jorge)在日 CloudWatch 誌中捕獲該信息。您可以將NetworkAdministrator政策附加到 Jorge 的 IAM 使用者,以便他們可以設定AWS網路資源。該政策也會在您建立流程日誌時,讓 Jorge 將名稱開頭為 flow-logs* 的角色傳遞到 Amazon EC2。在這個案例中,不像範例 1,沒有預先定義的服務角色類型,所以您必須分別地執行幾個步驟。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇政策,然後在搜尋方塊中輸入 network,再按下 Enter。

  3. 選取NetworkAdministrator策略旁邊的圓鈕,選擇 [動作],然後選擇 [附加]。

  4. 在使用者清單中,選取 Jorge 旁的核取方塊,然後選擇 Attach policy (連接政策)。Jorge 現在可以管理 AWS 網路資源。不過,為啟用監控 VPC 中的 IP 流量,您必須設定服務角色。

  5. 由於您需要建立的服務角色,沒有預先定義的受管政策,您必須先建立它。在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。

  6. 政策編輯器區段中,選擇 JSON 選項,並從下列 JSON 政策文件複製文字。將此文字貼上至 JSON 文字方框中。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。

    注意

    您可以隨時切換視覺化JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 政策結構調整

  8. 檢視與建立頁面上,針對政策名稱輸入 vpc-flow-logs-policy-for-service-role。檢視此政策中定義的許可以查看政策授與的許可,然後選擇建立政策來儲存您的工作。

    新的政策會出現在受管政策清單中,並且已準備好連接。

  9. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  10. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon EC2

  11. 選擇 Amazon EC2 使用案例。

  12. 在 [附加權限原則] 頁面上,選擇您先前建立的原則、vpc-flow-logs-policy-for-service-role,然後選擇 [下一步:檢閱]。

  13. 角色名稱必須由豪爾赫現在擁有的 NetworkAdministrator 策略允許。任何以 flow-logs- 開頭的名稱均允許。在此範例中,為 Role name (角色名稱) 輸入 flow-logs-for-jorge

  14. (選用) 在 Role description (角色說明) 中,輸入新角色的說明。

  15. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  16. 現在您可以設定此案例所需的信任政策。在 [角色] 頁面上,選擇flow-logs-for-jorge角色 (名稱,而不是核取方塊)。針對您的新角色,在詳細資訊頁面上,選擇 Trust relationships (信任關係) 標籤,然後選擇 Edit trust relationship (編輯信任關係)

  17. 將「Service (服務)」行讀取為如下所示,取代 ec2.amazonaws.com 的項目:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge 現在可在 Amazon EC2 主控台中為 VPC 或子網路建立流程日誌。建立流程記錄時,請指定flow-logs-for-jorge角色。該角色具有許可,以建立日誌和寫入資料。