本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立角色和連接政策 (主控台)
先前列出的幾個原則授與使用角色來設定 AWS 服務的能力,讓這些服務代表您執行作業。工作職能政策會指定確切的角色名稱,您必須使用或至少包含字首,其指定可用名稱的第一個部分。若要建立這些角色之一,請執行下列程序中的步驟。
若要建立 AWS 服務 (IAM控制台) 的角色
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在IAM主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
-
對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務。
-
對於服務或使用案例,請選擇服務,然後選擇使用案例。服務會定義使用案例,以包含服務所需的信任政策。
-
選擇 Next (下一步)。
-
對於權限原則,選項取決於您選取的使用案例:
-
如果服務定義了角色的權限,您就無法選取權限原則。
-
從一組有限的權限原則中進行選取。
-
從所有權限原則中選取。
-
選取 [無權限原則],建立角色後建立原則,然後將原則附加至角色。
-
-
(選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。
-
開啟 [設定權限界限] 區段,然後選擇 [使用權限界限] 控制最大角色權限。
IAM包含您帳戶中受 AWS 管理和客戶管理的政策清單。
選取用於許可界限的政策。
-
-
選擇 Next (下一步)。
-
對於角色名稱,選項取決於服務:
-
如果服務定義了角色名稱,您就無法編輯角色名稱。
-
如果服務定義了角色名稱的前置詞,您可以輸入選擇性的尾碼。
-
如果服務未定義角色名稱,您可以命名角色。
重要
命名角色時,請注意下列事項:
-
角色名稱在您的內部必須是唯一的 AWS 帳戶,並且不能根據大小寫使用唯一。
例如,請勿建立同時命名為
PRODROLE和的角色prodrole。當角色名稱用於策略中或作為一部分時ARN,角色名稱會區分大小寫,但是當主控台中的客戶 (例如在登入程序期間) 顯示角色名稱時,角色名稱不區分大小寫。 -
您無法在建立角色之後編輯該角色的名稱,因為其他實體可能會參照該角色。
-
-
-
(選擇性) 在說明中,輸入角色的說明。
-
(選擇性) 若要編輯角色的使用案例和權限,請在步驟 1:選取信任的實體或步驟 2:新增權限區段中,選擇編輯。
-
(選擇性) 若要協助識別、組織或搜尋角色,請將標籤新增為鍵值配對。若要取得有關在中使用標籤的更多資訊IAM,請參閱《使IAM用指南》中的標記IAM資源
-
檢閱角色,然後選擇 Create role (建立角色)。
範例 1:設定使用者做為資料庫管理員 (主控台)
此範例顯示將IAM使用者 Alice 設定為資料庫管理員所需的步驟。您可以使用該區段中表格第一列中的資訊,並允許使用者啟用 Amazon RDS 監控。您將DatabaseAdministratorrds-monitoring-role為 Amazon RDS 服務的角色,該角色允許該服務代表他們監控 Amazon RDS 數據庫。
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
選擇政策,在搜尋方塊中輸入
database,然後按下 Enter 鍵。 -
選取DatabaseAdministrator原則的圓鈕,選擇 [動作],然後選擇 [附加]。
-
在實體清單中,選取 Alice,然後選擇連接政策。愛麗絲現在可以管理 AWS 數據庫。不過,為允許 Alice 來監控這些資料庫,您必須設定服務角色。
-
在IAM主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
-
選擇AWS 服務角色類型,然後選擇 Amazon RDS。
-
選擇 Amazon RDS 角色以進行增強型監控使用案例。
-
Amazon RDS 定義了您的角色的許可。選擇 Next: Review (下一步:檢閱) 以繼續進行。
-
角色名稱必須是 Alice 現在擁有的 DatabaseAdministrator 原則所指定的名稱之一。其中一個是
rds-monitoring-role。為 Role name (角色名稱) 輸入該名稱。 -
(選用) 在 Role description (角色說明) 中,輸入新角色的說明。
-
檢閱詳細資訊之後,選擇 Create role (建立角色)。
-
愛麗絲現在可以在 Amazon RDS 控制台的監控部分啟用RDS增強型監控。例如,他們在建立資料庫執行個體、建立讀取複本或修改資料庫執行個體時,他們可能執行此操作。將 [啟用增強型監視] 設為 [是] 時,必須在 [監視角色] 方塊中輸入自己建立的角色名稱 (rds-monitoring-role)。
範例 2:設定使用者做為網路管理員 (主控台)
此範例顯示將IAM使用者 Jorge 設定為網路管理員所需的步驟。它使用該部分中的表中的信息,以允許豪爾赫監視 IP 流量去和從. VPC 它還允許豪爾赫(Jorge)在日 CloudWatch 誌中捕獲該信息。您可以將NetworkAdministratorflow-logs*以開頭的角色傳遞給 Amazon。在這個案例中,不像範例 1,沒有預先定義的服務角色類型,所以您必須分別地執行幾個步驟。
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇政策,然後在搜尋方塊中輸入
network,再按下 Enter。 -
選取NetworkAdministrator策略旁邊的圓鈕,選擇 [動作],然後選擇 [附加]。
-
在使用者清單中,選取 Jorge 旁的核取方塊,然後選擇 Attach policy (連接政策)。豪爾赫現在可以管理 AWS 網路資源。不過,若要啟用監視 IP 流量的功能VPC,您必須設定服務角色。
-
由於您需要建立的服務角色,沒有預先定義的受管政策,您必須先建立它。在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。
-
在 [原則編輯器] 區段中,選擇JSON選項並複製下列JSON原則文件中的文字。將此文字貼到JSON文字方塊中。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ] } -
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。
注意
您可以隨時在視覺和JSON編輯器選項之間切換。不過,如果您在視覺化編輯器中進行變更或選擇 [下一步],IAM可能會重新架構您的原則,以針對視覺化編輯器最佳化。如需詳細資訊,請參閱政策結構調整。
-
在檢視與建立頁面上,針對政策名稱輸入
vpc-flow-logs-policy-for-service-role。檢視此政策中定義的許可以查看政策授與的許可,然後選擇建立政策來儲存您的工作。新的政策會出現在受管政策清單中,並且已準備好連接。
-
在IAM主控台的導覽窗格中,選擇 [角色],然後選擇 [建立角色]。
-
選擇AWS 服務角色類型,然後選擇 Amazon EC2。
-
選擇 Amazon EC2 使用案例。
-
在 [附加權限原則] 頁面上,選擇您先前建立的原則、vpc-flow-logs-policy-for-service-role,然後選擇 [下一步:檢閱]。
-
角色名稱必須由豪爾赫現在擁有的 NetworkAdministrator 策略允許。任何以
flow-logs-開頭的名稱均允許。在此範例中,為 Role name (角色名稱) 輸入flow-logs-for-jorge。 -
(選用) 在 Role description (角色說明) 中,輸入新角色的說明。
-
檢閱詳細資訊之後,選擇 Create role (建立角色)。
-
現在您可以設定此案例所需的信任政策。在 [角色] 頁面上,選擇flow-logs-for-jorge角色 (名稱,而非核取方塊)。針對您的新角色,在詳細資訊頁面上,選擇 Trust relationships (信任關係) 標籤,然後選擇 Edit trust relationship (編輯信任關係)。
-
將「Service (服務)」行讀取為如下所示,取代
ec2.amazonaws.com的項目:"Service": "vpc-flow-logs.amazonaws.com" -
Jorge 現在可以在 Amazon EC2 主控台中為VPC或子網路建立流程日誌。建立流程記錄時,請指定flow-logs-for-jorge角色。該角色具有許可,以建立日誌和寫入資料。
