本站提供互联网编程技术交流分享,部分技术教程不断更新中,请随时关注或联系我寻求帮助 有事点我吧同时也欢迎有兴趣的朋友进行投稿。

关于AWS的IAM安全服务的使用

AWS 熊哥club 743℃ 0评论

在亚马逊AWS中经常需要使用IAM服务,当你创建根账户(即你的邮箱账户的时候),为了安全,接下来你就需要使用IAM创建不同权限的用户。

“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。

IAM登录地址:

https://XXXX(你的根账户id,这里可以在iam设置自定义名称).signin.aws.amazon.com/console

20160310204340

IAM登录页面:

20160310203453

MFA安全验证,可以手机安装个谷歌身份验证器,动态密码验证,增强安全性

QQ20160310203523

登录后查看策略

20160310203819

什么是策略

策略可以理解为权限类型,AWS将不同的权限分门别类划分成了不同的策略项,以方便配置。

用户

用户不用过多的解释,这里就是AWS后台的登录用户。值得注意的是,在AWS后台注册后,会生成一个账户和默认的管理员用户,注意这两者的区别。之后还可以通过后台创建不同的用户,但都是创建在同一个账户下,账户ID是相同的,用户名不同。

用户组

用户组就是多个用户的集合。创建了用户组之后可以向其中添加多个用户。如果为用户组赋予了策略,则用户组织内所有的用户都拥有这些策略。

关于EC2的两个策略

我们来看看这两个关于EC2的策略:
AmazonEC2FullAccess
AmazonEC2ReadOnlyAccess

在控制台界面中:
20150805143557416

这两个策略中,AmazonEC2FullAccess很好理解,它是关于EC2服务的全访问授权,对当前账户EC2服务的所有操作都可以进行。

对于AmazonEC2ReadOnlyAccess呢。从字面上看,貌似是对EC2的只读授权,那所谓的ReadOnly,是在哪个层次上呢,是对开启的EC2服务器只能进行只读操作而不能进行写操作吗?

其实不是的。这里的ReadOnly,是指后台EC2服务界面的所有访问操作,都是只读的。也就是说,你可以查看EC2的IP,可以看关于VPC的信息,可以查看目前系统中所有的安全组等;但涉及到对系统配置的改动操作,都是不被允许的。如你想添加VPC,或者对服务器进行停止、重启、终止,或者想创建一个网络接口,都不可以。但如果你登录到EC2服务器中,进行文件的创建、删除操作都是可以的,后台策略控制不到这个层次。

一般来说,设置访问策略可以这样:
1.创建用户
2.创建用户组
3.为用户组添加用户
4.为用户组添加策略

 

当然也可以创建不同角色,可以与其他账户关联,只关联角色。具体可以参考aws文档

本文地址: http://www.xiongge.club/300.html

转载请注明:熊哥club » 关于AWS的IAM安全服务的使用

喜欢 (1)
[您的支持是我最大的动力]
分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
×
订阅图标按钮