SPL-66-版本3.1.4

©2020 Amazon Web 服务 ，Inc.及其分支机构。版权所有。未经Amazon Web 服务 ，Inc.事先书面许可，不得全部或部分复制或重新分发此作品。禁止商业复制，借出或出售。

错误或纠正？给我们发电子邮件 [电子邮件 protected].

还有其他问题吗？与我们联系  //aws.amazon.com/contact-us/aws-training/

实验室概述

AWS 身份和访问管理（IAM） 是一项Web服务，使Amazon Web 服务 （AWS）客户可以管理AWS中的用户和用户权限。借助IAM，您可以集中管理  使用者 , 安全凭证 例如访问键，以及 权限 控制用户可以访问哪些AWS资源。

涵盖的主题

本实验将演示：

• 探索预先创建的  我是 用户和组
• 检查中  我是 政策 适用于预先创建的组
• 跟随一个 真实场景，将用户添加到启用了特定功能的组中
• 找到并使用  我是 登录网址
• 实验中 政策对服务访问的影响

其他AWS服务

在本练习中，执行本练习指南中未介绍的步骤时，您可能会收到错误消息。这些消息不会影响您完成实验的能力。

AWS 身份和访问管理

AWS 身份和访问管理（IAM）可用于：

• 管理IAM用户及其访问权限： 您可以创建用户并为他们分配单独的安全凭证（访问密钥，密码和多因素身份验证设备）。您可以管理权限以控制用户可以执行的操作。

• 管理IAM角色及其权限：  我是 角色与用户相似，因为它是具有权限策略的AWS身份，该权限策略确定身份在AWS中可以做什么和不能做什么。但是，角色不是要与一个人唯一地关联，而应是 可设想的 任何需要它的人。

• 管理联合用户及其权限： 您可以启用 身份联盟 允许企业中的现有用户访问AWS管理控制台，调用AWS API和访问资源，而无需为每个身份创建IAM用户。

开始实验

1. 在屏幕顶部，通过点击启动实验室 开始实验

这将开始配置实验室资源的过程。将显示提供实验室资源的估计时间。您必须等待资源调配后才能继续。

 如果系统提示您输入令牌，请使用分配给您的令牌（或您购买的积分）。

2. 通过单击打开您的实验室 打开控制台

这将自动将您登录到AWS管理控制台。

 除非有指示，否则请勿更改地区.

常见的登录错误

错误：联合登录凭证

如果看到此消息：

• 关闭浏览器选项卡以返回到您的初始实验室窗口
• 等待几秒钟
• 请点击  打开控制台  再次

现在，您应该能够访问AWS管理控制台。

错误：您必须先注销

如果您看到此消息， 您必须先注销，然后再登录其他AWS账户：

• 请点击  点击这里
• 关闭浏览器选项卡以返回到初始Qwiklabs窗口
• 请点击  打开控制台  再次

任务1：探索用户和组

在此任务中，您将探索在IAM中已经为您创建的用户和组。

3. 在里面   AWS 管理控制台，在 服务  菜单，点击  我是 .

4. 在左侧的导航窗格中，单击  用户数 .

已为您创建以下IAM用户：

• user-1
• user-2
• user-3

5. 请点击  user-1.

这将打开用户1的摘要页面。的 权限 标签将显示。

6. 请注意，user-1没有任何权限。

7. 点击  团体   标签。

用户1也不是任何组的成员。

8. 点击 安全凭证  标签。

用户1被分配了一个 控制台密码

9. 在左侧的导航窗格中，单击  团体 .

已经为您创建了以下组：

• EC2-管理员
• EC2-支持
• S3-支持

10. 点击 EC2-支持  组。

这将带您进入摘要页面 EC2-支持  组。

11. 点击 权限  标签。

该组具有与其关联的托管策略，称为 AmazonEC2ReadOnlyAccess。托管策略是可以附加到IAM用户和组的预构建策略（由AWS或您的管理员构建）。更新策略后，对策略的更改将立即应用于该策略所附加的所有用户和组。

12. 下   动作 ， 点击 显示政策  链接。

策略定义了针对特定AWS资源允许或拒绝的操作。该策略授予对列出和描述有关EC2，Elastic Load Balancing，CloudWatch和Auto Scaling的信息的权限。这种查看资源而不修改资源的能力非常适合分配给支持角色。

我是 策略中语句的基本结构为：

• 影响  说是否  允许   要么   拒绝  权限。
• 行动  指定可以针对AWS服务进行的API调用（例如， cloudwatch：ListMetrics ）。
• 资源资源 定义策略规则涵盖的实体范围（例如，特定的Amazon S3存储桶或Amazon EC2实例，或*表示 任何资源 ）。

13. 关上 显示政策  窗口。

14. 在左侧的导航窗格中，单击  团体 .

15. 点击 S3-支持  组。

S3-支持组具有 AmazonS3ReadOnlyAccess 附加政策。

16. 以下  动作  菜单中，点击 显示政策  链接。

此策略具有在Amazon S3中获取和列出资源的权限。

17. 关上 显示政策  窗口。

18. 在左侧的导航窗格中，单击  团体 .

19. 点击 EC2-管理员  组。

该组与其他两个组略有不同。代替 托管政策，它有一个 内联政策，这是仅分配给一个用户或组的策略。串联策略通常用于一次性情况下的权限。

20. 下   动作 ，点击  修改政策 查看政策。

该策略授予查看（描述）有关Amazon EC2信息的权限，以及启动和停止实例的能力。

21. 在屏幕底部，单击  取消  关闭政策。

业务场景

在本实验的其余部分，您将与这些用户和组一起使用以启用支持以下业务场景的权限：

您的公司正在越来越多地使用Amazon Web 服务 ，并且正在使用许多Amazon EC2实例和大量Amazon S3存储。您希望根据新员工的工作职能授予他们访问权限：

用户	在组中	权限
user-1	S3-支持	对Amazon S3的只读访问
user-2	EC2-支持	对Amazon EC2的只读访问
user-3	EC2-管理员	查看，启动和停止Amazon EC2实例

任务2：将用户添加到组

您最近录用了 user-1 他们将为Amazon S3提供支持的角色。您将它们添加到 S3-支持 组，以便他们通过附件继承必要的权限 AmazonS3ReadOnlyAccess  政策。

 您可以忽略此任务期间出现的任何“未授权”错误。它们是由您的实验室帐户具有有限的权限引起的，不会影响您完成实验室的能力。

将用户1添加到S3-Support组

22. 在左侧导航窗格中，单击  团体 .

23. 点击 S3-支持  组。

24. 点击  用户数   标签。

25. 在里面   用户数  标签，点击 将用户添加到组.

26. 在里面  将用户添加到组 窗口，配置以下内容：

• 选择   user-1.
• 在屏幕底部，单击 添加用户.

在里面   用户数  标签，您将看到已将user-1添加到该组。

将用户2添加到EC2-支持组

你已经录用了 user-2 他们将为Amazon EC2提供支持的角色。

27. 使用与上述步骤类似的步骤，添加 user-2  到  EC2-支持  组。

用户2现在应该是 EC2-支持  组。

将用户3添加到EC2-Admin组

你已经录用了 user-3 作为您的EC2实例的Amazon EC2管理员。

28. 使用与上述步骤类似的步骤，添加 user-3  到  EC2-管理员  组。

用户3现在应该是 EC2-管理员  组。

29. 在左侧的导航窗格中，单击  团体 .

每个小组应有一个 1 在“用户”列中获取每个组中的用户数。

如果您没有 1 在每个组旁边，重新访问以上说明，以确保将每个用户分配到一个组，如“业务场景”部分中的表所示。

任务3：登录并测试用户

在此任务中，您将测试每个IAM用户的权限。

30. 在左侧的导航窗格中，单击 仪表板.

一个   我是 用户登录链接 显示它将类似于：  //123456789012.signin.aws.amazon.com/console

该链接可用于登录您当前正在使用的AWS账户。

31. 复制   我是 用户登录链接 到文本编辑器。

32. 打开一个私人窗口。

火狐浏览器

• 点击菜单栏  在屏幕的右上方
• 选择  新的私人视窗

谷歌浏览器

• 单击省略号  在屏幕的右上方
• 请点击  新的隐身窗口

微软Edge

• 单击省略号  在屏幕的右上方
• 请点击  新的InPrivate窗口

Microsoft Internet Explorer

• 点击  工具类  菜单选项
• 请点击  私人浏览

33. 粘贴  我是 用户登录 链接到您的私人窗口，然后按  输入 .

您现在将以 user-1，已被聘为您的Amazon S3存储支持人员。

34. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴值 管理员密码 位于这些说明的左侧。

35. 在里面  服务  菜单，点击 S3.

36. 单击其中一个存储桶的名称，然后浏览内容。

由于您的用户是 S3-支持 在IAM中进行分组，他们有权查看Amazon S3存储桶及其内容的列表。

现在，测试他们是否有权访问Amazon EC2。

37. 在里面  服务  菜单，点击 EC2.

38. 导航到您的实验室启动所在的区域：

• 点击下拉菜单  屏幕顶部的箭头，位于屏幕左侧  支持
• 选择与值相匹配的区域值  地区  这些说明左侧

39. 在左侧导航窗格中，单击 执行个体.

您看不到任何实例！相反，它说 提取实例数据时发生错误：您无权执行此操作。。这是因为尚未为您的用户分配使用Amazon EC2的任何权限。

您现在将以 user-2，已被聘为您的Amazon EC2支持人员。

40. 将用户1退出  AWS 管理控制台 通过配置以下内容：

• 在屏幕顶部，单击 user-1
• 请点击   登出

41. 粘贴  我是 用户登录 链接到您的私人窗口，然后按  输入 .

此链接应该在您的文本编辑器中。

42. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴值 管理员密码 位于这些说明的左侧。

43. 在里面  服务  菜单，点击 EC2.

44. 导航到您的实验室启动所在的区域：

• 点击下拉菜单  屏幕顶部的箭头，位于屏幕左侧  支持
• 选择与值相匹配的区域值  地区  这些说明左侧

45. 在左侧的导航窗格中，单击 执行个体.

现在，您可以看到Amazon EC2实例，因为您具有“只读”权限。但是，您将无法对Amazon EC2资源进行任何更改。

您的EC2实例应被选中  如果未选择，请选择   它。

46. 在里面   动作  菜单，点击 实例状态 >  停止 .

47. 在里面  停止实例 窗口，单击 是的，停止.

您将收到一条错误消息，指出 您无权执行此操作。这表明该策略仅允许您提供信息，而没有进行更改。

48. 在  停止实例 窗口，单击  取消 .

接下来，检查用户2是否可以访问Amazon S3。

49. 在里面  服务 ，点击  S3.

您将收到一个  错误访问被拒绝 因为user-2不允许使用Amazon S3。

您现在将以 user-3，已被聘为您的Amazon EC2管理员。

50. 将用户2退出  AWS 管理控制台 通过配置以下内容：

• 在屏幕顶部，单击 user-2
• 请点击   登出

51. 粘贴  我是 用户登录 链接到您的私人窗口，然后按  输入 .

52. 再次将登录链接粘贴到您的Web浏览器地址栏中。如果它不在剪贴板中，请从之前存储它的文本编辑器中检索它。

53. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴值 管理员密码 位于这些说明的左侧。

54. 在里面  服务  菜单，点击 EC2.

55. 导航到您的实验室启动所在的区域：

• 点击下拉菜单  屏幕顶部的箭头，位于屏幕左侧  支持
• 选择与值相匹配的区域值  地区  这些说明左侧

56. 在左侧的导航窗格中，单击 执行个体.

作为EC2管理员，您现在应该有权停止Amazon EC2实例。

您的EC2实例应被选中 。如果不是，请选择   它。

57. 在里面   动作  菜单，点击 实例状态 >  停止 .

58. 在里面  停止实例 窗口，单击 是的，停止.

实例将进入  停止  状态，将关闭。

59. 关闭您的私人窗口。

结束实验室

请按照以下步骤关闭控制台，结束实验并评估体验。

60. 返回AWS管理控制台。

61. 在导航栏上，单击 [电子邮件 protected]<AccountNumber>，然后单击  登出 .

62. 请点击   结束实验室

63. 请点击   好

64. （可选的）：

• 选择适用的星数 
• 输入评论

• 请点击   提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中立
  • 4星=满意
  • 5星=非常满意

如果您不想提供反馈，则可以关闭对话框。

结论

 恭喜你！您现在已经成功：

• 探索了预先创建的IAM用户和组
• 适用于预先创建的组的已检查IAM策略
• 遵循实际情况，将用户添加到启用了特定功能的组中
• 找到并使用IAM登录URL

• 实验了策略对服务访问的影响

• 有关AWS培训和认证的更多信息，请参阅  http://aws.amazon.com/training/ .

• 有关更多AWS自定进度实验室，请参阅  http://amazon.qwiklabs.com .

有关反馈，建议或更正，请给我们发送电子邮件至 [电子邮件 protected].

其他资源

• AWS 培训和认证
• 有关AWS 我是 的更多信息

有关反馈，建议或更正，请发送电子邮件至： [电子邮件 protected]