建立角色和連線政策 (主控台) - AWS Identity and Access Management

建立角色和連線政策 (主控台)

數個先前列出的政策授予能力,可讓您使用角色設定 AWS 服務,那些角色可代表您啟用服務以執行操作。工作職能政策會指定確切的角色名稱,您必須使用或至少包含字首,其指定可用名稱的第一個部分。若要建立這些角色之一,請執行下列程序中的步驟。

建立 AWS 服務的角色 (IAM 主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. 選擇 AWS 服務角色類型,然後選擇您要允許擔任此角色的服務。

  4. 選擇服務的使用案例。如果指定的服務只有一個使用案例,則會自動選取它。服務會定義使用案例,以包含服務所需的信任政策。然後選擇 Next: Permissions (下一步:許可)。

  5. 可以的話,請選取用於許可政策的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱《IAM 使用者指南》建立 IAM 政策程序的步驟 4。在您建立政策後,關閉該標籤並返回您的原始標籤。選取您要服務具有之許可政策旁的核取方塊。

    根據您選取的使用案例,服務可能可以允許您執行下列任何操作:

    • 無,因為服務會定義角色的許可

    • 可讓您從有限的一組許可中進行選擇

    • 可讓您從任何許可中進行選擇

    • 可讓您目前無法選取政策、稍後建立政策,然後將它們連接至角色

  6. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    展開 Set permissions boundary (設定許可界限) 區段,並選擇 Use a permissions boundary to control the maximum role permissions (使用許可界限來控制角色許可上限)。IAM 包含您帳戶中的 AWS 受管和客戶受管政策清單。選取用於許可界限的政策,或者選擇 Create policy (建立政策) 以開啟新的瀏覽器標籤,並從頭建立新的政策。如需詳細資訊,請參閱《IAM 使用者指南》建立 IAM 政策程序的步驟 4。在您建立政策後,關閉該標籤並返回您的原始標籤,以選取用於許可界限的政策。

  7. 選擇 Next: Tags (下一步:標籤)。

  8. (選用) 藉由連接標籤做為索引鍵/值組,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 實體

  9. 選擇 Next:Review (下一步:檢閱)

  10. 針對 Role name (角色名稱),服務會定義角色名稱自訂程度。如果服務定義角色名稱,則無法編輯此選項。在其他情況下,服務可能會定義角色的字首,並且可允許您輸入選用後綴。有些服務可讓您指定角色的完整名稱。

    如果可能,請輸入角色名稱或角色名稱後綴,以協助您識別此角色的用途。角色名稱在您的 AWS 帳戶 內必須是獨一無二的。它們無法透過大小寫進行區分。例如,您無法建立名為 PRODROLEprodrole 的角色。因為有各種實體可能會參照角色,所以您無法在建立角色之後編輯角色名稱。

  11. (選用) 在 Role description (角色說明) 中,輸入新角色的說明。

  12. 檢閱角色,然後選擇 Create role (建立角色)

範例 1:設定使用者做為資料庫管理員 (主控台)

此範例顯示設定 IAM 使用者 Alice 作為資料庫管理員所需的步驟。您使用該區段中表格第一列的資訊,並允許使用者啟用 Amazon RDS 監控。您將 DatabaseAdministrator 政策連接到 Alice 的 IAM 使用者,讓她可以管理 Amazon 資料庫服務。該政策也可讓 Alice 將稱為 rds-monitoring-role 的角色傳遞到 Amazon RDS 服務,讓服務代表她來監控 RDS 資料庫。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 選擇 Policies (政策),然後在搜尋方塊中輸入 database

  3. 選取 DatabaseAdministrator 政策的核取方塊,然後選擇 Actions (動作),再選擇 Attach (連接)。

  4. 在使用者清單中,選取 Alice,然後選擇 Attach policy (連接政策)。Alice 現在可以管理 AWS 資料庫。不過,為允許 Alice 來監控這些資料庫,您必須設定服務角色。

  5. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  6. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon RDS

  7. 選擇 Amazon RDS Role for Enhanced Monitoring (增強監控的 Amazon RDS 角色) 使用案例。

  8. Amazon RDS 定義角色的許可。選擇 Next: Review (下一步:檢閱) 以繼續進行。

  9. 角色名稱必須是 Alice 現在所有的 DatabaseAdministrator 政策所指定的其中一個。其中一個是 rds-monitoring-role。輸入 Role name

  10. (選用) 針對 Role description (角色說明),輸入新角色的說明。

  11. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  12. Alice 現在可以在 Amazon RDS 主控台的 Monitoring (監控) 區段中啟用 RDS Enhanced Monitoring (RDS 增強型監控)。例如,她在建立資料庫執行個體、建立讀取複本或修改資料庫執行個體,可能執行此操作。她必須在將 Enable Enhanced Monitoring 設定為 Yes (是)時,在 Monitoring Role (監控角色) 方塊中輸入她建立的角色名稱 (rds-monitoring-role)。

範例 2:設定使用者做為網路管理員 (主控台)

此範例顯示設定 IAM 使用者 Juan 作為網路管理員所需的步驟。它使用該區段中表格的資訊,允許 Juan 監控進出 VPC 的 IP 流量。它也允許 Juan 在 CloudWatch Logs 中擷取日誌中的資訊。您可將 NetworkAdministrator 政策連接到 Juan 的 IAM 使用者,讓他可以設定 AWS 網路資源。該政策也會在您建立流程日誌時,讓 Juan 將名稱開頭為 flow-logs* 的角色傳遞到 Amazon EC2。在這個案例中,不像範例 1,沒有預先定義的服務角色類型,所以您必須分別地執行幾個步驟。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Policies (政策),然後在搜尋方塊中輸入 network

  3. 選取 NetworkAdministrator 政策旁的核取方塊,選擇 Actions (動作),然後選擇 Attach (連接)。

  4. 在使用者清單中,選取 Juan 旁的核取方塊,然後選擇 Attach policy (連接政策)。Juan 現在可以管理 AWS 網路資源。不過,為啟用監控 VPC 中的 IP 流量,您必須設定服務角色。

  5. 由於您需要建立的服務角色,沒有預先定義的受管政策,您必須先建立它。在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。

  6. 選擇 JSON 標籤並從下列 JSON 政策文件複製文字。將此文字貼上至 JSON 文字方框中。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ] }
  7. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Review policy (檢閱政策)。

    注意

    您可以隨時切換 Visual editor (視覺化編輯器) 與 JSON 標籤。不過,如果您進行更改或在 Visual editor (視覺編輯工具) 索引標籤中選擇 Review policy (檢閱政策),IAM 可能會調整您的政策結構以針對視覺編輯工具進行最佳化。如需詳細資訊,請參閱 政策結構調整

  8. Review (檢閱) 頁面上,針對政策名稱輸入 vpc-flow-logs-policy-for-service-role。檢閱政策 Summary (摘要) 以查看政策授予的許可,然後選擇 Create policy (建立政策) 來儲存您的工作。

    新的政策會出現在受管政策清單中,並且已準備好連接。

  9. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  10. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon EC2

  11. 選擇 Amazon EC2 使用案例。

  12. Attach permissions policies (連接許可政策) 頁面上,選擇您稍早建立的政策 vpc-flow-logs-policy-for-service-role,然後選擇 Next: Review (下一步:檢閱)

  13. 角色名稱必須經過 Juan 現在所有的 NetworkAdministrator 政策許可。任何以 flow-logs- 開頭的名稱均允許。在此範例中,為 Role name (角色名稱) 輸入 flow-logs-for-juan

  14. (選用) 針對 Role description (角色說明),輸入新角色的說明。

  15. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  16. 現在您可以設定此案例所需的信任政策。在 Roles (角色) 頁面上,選擇 flow-logs-for-juan 角色 (名稱,而非核取方塊)。針對您的新角色,在詳細資訊頁面上,選擇 Trust relationships (信任關係) 標籤,然後選擇 Edit trust relationship (編輯信任關係)

  17. 將「Service (服務)」行讀取為如下所示,取代 ec2.amazonaws.com 的項目:

    "Service": "vpc-flow-logs.amazonaws.com"
  18. Juan 現在可在 Amazon EC2 主控台中為 VPC 或子網路建立流程日誌。當您建立流程日誌時,指定 flow-logs-for-juan 角色。該角色具有許可,以建立日誌和寫入資料。