IAM 教程:建立並連接您的第一個客戶受管政策 - AWS Identity and Access Management

IAM 教程:建立並連接您的第一個客戶受管政策

在此教學中,您會使用 AWS Management Console 來建立客戶受管政策,然後將該政策連接到 AWS 帳戶中的 IAM 使用者。您建立的政策會允許 IAM 測試使用者使用唯讀許可直接登入 AWS Management Console。

此工作流程有三個基本步驟:

步驟 1:建立政策

根據預設,IAM 使用者沒有執行任何動作的許可。它們無法存取 AWS 管理主控台或管理其中的資料,除非您允許。在此步驟中,您建立客戶受管政策,其允許任何連接的使用者登入主控台。

步驟 2:連接政策

當您將政策連接到使用者時,使用者會繼承與該政策相關聯的所有存取許可。在此步驟中,您會將新的政策連接到測試使用者帳戶。

步驟 3:測試使用者存取權限

一旦連接政策,便可以使用者身分登入並測試政策。

Prerequisites

若要執行此教學課程中的步驟,您需具備以下內容:

  • 可使用 IAM 使用者身分登入的具有管理許可的 AWS 帳戶。

  • 未擁有指派許可或群組成員資格的測試 IAM 使用者,如下所示:

    使用者名稱 群組 許可
    PolicyUser <無> <無>

步驟 1:建立政策

在此步驟中,您會建立客戶受管政策,允許任何連接的使用者登入 AWS Management Console,並擁有唯讀存取 IAM 資料的權限。

為您的測試使用者建立政策

  1. 以具有管理員許可的使用者身分登入 IAM 主控台 (https://console.aws.amazon.com/iam/)。

  2. 在導覽窗格上選擇 Policies (政策)

  3. 在內容窗格中,選擇 Create policy (建立政策)

  4. 選擇 JSON 標籤並從下列 JSON 政策文件複製文字。將此文字貼上至 JSON 文字方框中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] }
  5. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Review policy (檢閱政策)

    注意

    您可以隨時在 Visual editor (視覺化編輯器)JSON 標籤間切換。不過,如果您進行更改或在 Visual editor (視覺化編輯器) 標籤中選擇 Review policy (檢閱政策),IAM 可能會對您的政策進行結構調整,以針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱 政策結構調整

  6. Review (檢閱) 頁面上,針對政策名稱輸入 UsersReadOnlyAccessToIAMConsole。檢閱政策 Summary (摘要) 以查看政策授與的許可,然後選擇 Create policy (建立政策) 來儲存您的工作。

    新的政策會出現在受管政策清單中,並且已準備好連接。

步驟 2:連接政策

接下來,將您剛建立的政策連接到測試 IAM 使用者。

連接政策到您的測試使用者

  1. 在 IAM 主控台的導覽窗格中,選擇 Policies (政策)

  2. 在政策清單頂端的搜尋方塊中,開始輸入 UsersReadOnlyAccesstoIAMConsole 直到您可以看到您的政策。然後勾選清單中 UsersReadOnlyAccessToIAMConsole 旁的方塊。

  3. 選擇 Actions (動作) 按鈕,再選擇 Attach (連接)

  4. 針對 Filter (篩選條件) 選項,請選擇 Users (使用者)

  5. 在搜尋方塊中,開始輸入 PolicyUser 直到該使用者顯示在清單上。然後勾選清單中該使用者旁的方塊。

  6. 選擇 Attach Policy (連接政策)

您可以連接政策到 IAM 測試使用者,這表示使用者現在擁有唯讀存取 IAM 主控台的權限。

步驟 3:測試使用者存取權限

對於本教學,建議您以測試使用者身分登入來測試存取權,如此才能了解使用者可能經歷的情況。

以測試使用者帳戶登入來測試存取權限

  1. PolicyUser 測試使用者身分登入位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 瀏覽主控台頁面並嘗試建立新的使用者或群組。請注意,PolicyUser 可以顯示資料,但無法建立或修改現有 IAM 資料。

相關資源

如需 IAM 使用者指南中的相關資訊,請參閱下列資源:

Summary

現在您已成功完成所有建立和連接客戶受管政策的必要步驟。因此,您可以利用您的測試帳戶登入 IAM 主控台,以查看使用者的體驗。