论坛

AWS. 简介......
 
Notifications
清除所有

AWS. Identity和Access Management介绍(IAM)


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

 

 

用户 在集团中 权限
user-1 S3支持 只读访问Amazon S3
user-2 EC2支持 对Amazon EC2的只读访问
user-3 EC2-admin. 查看,启动和停止Amazon EC2实例

任务2:将用户添加到组

你最近雇用了user-1成为他们将为Amazon S3提供支持的角色。你会将它们添加到S3支持小组使他们通过附件继承了必要的权限Amazons3Readonlyaccess. 政策。

你可以忽略任何"not authorized"此任务期间出现的错误。它们是由您的实验室帐户引起的权限有限,不会影响您完成实验室的能力。

将用户-1添加到S3支持组

  1. 在左侧导航窗格中,单击 团体 .

  2. 点击S3支持 团体。

  3. 点击 用户 标签。

  4. 在里面 用户 选项卡,单击将用户添加到组.

  5. 在里面 将用户添加到组窗口,配置以下内容:

  • 选择 user-1.
  • 在屏幕底部,单击添加用户.

在里面 用户 标签您将看到用户-1已添加到该组。

将User-2添加到EC2支持组

你雇了user-2进入他们将为亚马逊EC2提供支持的角色。

  1. 使用类似的步骤到上面的类似步骤,添加user-2 到了 EC2支持 团体。

用户2现在应该是其中的一部分EC2支持 团体。

将User-3添加到EC2-Admin组

你雇了user-3作为您管理EC2实例的Amazon EC2管理员。

  1. 使用类似的步骤到上面的类似步骤,添加user-3 到了 EC2-admin. 团体。

用户3现在应该是其中的一部分EC2-admin. 团体。

  1. 在左侧导航窗格中,单击 团体 .

每个小组应该有一个1在用户列中为每个组中的用户数。

如果你没有1在每个组旁边,重新访问上面的上述说明,以确保将每个用户分配给组,如业务方案部分中的表中所示。

任务3:登录和测试用户

在此任务中,您将测试每个IAM用户的权限。

  1. 在左侧导航窗格中,单击仪表盘.

一个 我是 用户登录链接显示它看起来与: //123456789012.signin.aws.amazon.com/console

此链接可用于登录您当前正在使用的AWS帐户。

  1. 复制 我是 用户登录链接到文本编辑器。

  2. 打开私人窗口。

火狐浏览器

  • 单击菜单BARSAT屏幕的右上角
  • 选择 新私人窗口

谷歌浏览器

  • 单击省略号屏幕的右上角
  • 点击 新的隐姓埋名窗口

微软边缘

  • 单击省略号屏幕的右上角
  • 点击 新的inprivate窗口

Microsoft Internet Explorer.

  • 点击 工具 菜单选项
  • 点击 Inprivate浏览
  1. 粘贴 我是 用户登录链接到您的私人窗口并按 进入 .

你现在将登录user-1,谁已被聘为您的Amazon S3存储支持人员。

  1. 登陆使用:
  • 我是 用户名:
  • 密码:粘贴价值管理员普遍方式位于这些说明的左侧。
  1. 在里面 服务菜单,点击S3.

  2. 单击其中一个存储桶的名称并浏览内容。

由于您的用户是部分S3支持在IAM中的组,他们有权查看亚马逊S3存储桶及其内容的列表。

现在,测试他们是否可以访问亚马逊EC2。

  1. 在里面 服务菜单,点击EC2.

  2. 导航到您的实验室的区域:

  • 点击屏幕顶部的下降落下,向左 支持
  • 选择与值匹配的区域值 地区 在这些指示的左侧
  1. 在左侧导航窗格中,单击实例.

你看不到任何情况!相反,它说获取错误实例数据的错误:您无权执行此操作。。这是因为您的用户尚未为使用Amazon EC2分配任何权限。

你现在将登录user-2,谁已被聘用为您的亚马逊EC2支持人员。

  1. 签署用户-1 AWS. 管理控制台通过配置以下内容:
  • 在屏幕顶部,单击user-1
  • 点击 登出
  1. 粘贴 我是 用户登录链接到您的私人窗口并按 进入 .

此链接应在您的文本编辑器中。

  1. 登陆使用:
  • 我是 用户名:
  • 密码:粘贴价值管理员普遍方式位于这些说明的左侧。
  1. 在里面 服务菜单,点击EC2.

  2. 导航到您的实验室的区域:

  • 点击屏幕顶部的下降落下,向左 支持
  • 选择与值匹配的区域值 地区 在这些指示的左侧
  1. 在左侧导航窗格中,单击实例.

您现在能够看到Amazon EC2实例,因为您只读了权限。但是,您将无法对Amazon EC2资源进行任何更改。

应选择您的EC2实例,此未选择它,选择。

  1. 在里面 行动 菜单,点击实例状态> 停止 .

  2. 在里面 停止实例窗口,点击是的,停止.

您将收到错误陈述您无权执行此操作。这表明该策略仅允许您提供信息,而不会进行更改。

  1. 停止实例窗口,点击 取消 .

接下来,检查用户-2是否可以访问Amazon S3。

  1. 在里面 服务 , 点击 S3.

你会收到一个错误访问被拒绝因为User-2不允许使用Amazon S3。

你现在将登录user-3,谁已被聘为您的亚马逊EC2管理员。

  1. 签署用户-2 AWS. 管理控制台通过配置以下内容:
  • 在屏幕顶部,单击user-2
  • 点击 登出
  1. 粘贴 我是 用户登录链接到您的私人窗口并按 进入 .

  2. 再次将登录链接粘贴到Web浏览器地址栏中。如果它不在剪贴板中,请从您之前存储的文本编辑器中检索它。

  3. 登陆使用:

  • 我是 用户名:
  • 密码:粘贴价值管理员普遍方式位于这些说明的左侧。
  1. 在里面 服务菜单,点击EC2.

  2. 导航到您的实验室的区域:

  • 点击屏幕顶部的下降落下,向左 支持
  • 选择与值匹配的区域值 地区 在这些指示的左侧
  1. 在左侧导航窗格中,单击实例.

作为EC2管理员,您现在应该具有停止Amazon EC2实例的权限。

应选择您的EC2实例。如果不是,请选择。

  1. 在里面 行动 菜单,点击实例状态> 停止 .

  2. 在里面 停止实例窗口,点击是的,停止.

实例将进入stop国家并将关闭。

  1. 关闭您的私人窗口。

结束实验室

按照以下步骤关闭控制台,结束您的实验室,并评估体验。

  1. 返回AWS管理控制台。

  2. 在导航栏上,单击[电子邮件 protected]<AccountNumber>,然后单击登出.

  3. 点击 结束实验室

  4. 点击 好的

  5. (可选的):

  • 选择适用的星星数量
  • 输入评论
  • 点击 提交

    • 1星=非常不满意
    • 2星=不满意
    • 3星=中性
    • 4星=满意
    • 5星=非常满意

如果你没有,你可以关闭对话'想要提供反馈。

结论

恭喜!你现在已经成功了:

  • 探索预先创建的IAM用户和组
  • 检查IAM政策,适用于预先创建的群体
  • 遵循真实世界的方案,将用户添加到具有特定功能的组
  • 位于并使用IAM登录URL
  • 试验政策对服务访问的影响

  • 有关AWS培训和认证的更多信息,请参阅 http://aws.amazon.com/training/ .

  • 对于更多AWS自我节奏的实验室,见 http://amazon.qwiklabs.com .

有关反馈,建议或更正,请发送电子邮件给我们[电子邮件 protected].

额外资源

有关反馈,建议或更正,请发送电子邮件给我们:[电子邮件 protected]

 
 
2 答案
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago
00:45:00
 

AWS. Identity和Access Management介绍(IAM)

45分钟 自由

SPL-66 - 版本3.1.4

©2020 Amazon Web Services,Inc。及其附属公司。版权所有。未经亚马逊Web服务,Inc。禁止商业复制,贷款或销售,全部或部分不得重现或重新分发或重新分配或重新分配这项工作。

错误或更正?给我们发电子邮件 [电子邮件 protected].

其他问题?联系我们  //aws.amazon.com/contact-us/aws-training/

实验室概述

AWS. 身份和访问管理(IAM) 是一个Web服务,使Amazon Web服务(AWS)客户能够管理AWS中的用户和用户权限。与IAM,您可以集中管理  用户 , 安全凭证 如访问键,和 权限 该控制AWS资源用户可以访问。

主题涵盖

这个实验室将展示:

  • 探索预先创建的  我是 用户和团体
  • 检查  我是 政策 适用于预先创建的群体
  • 遵循A. 现实世界的情景,将用户添加到具有特定功能的组
  • 定位和使用  我是 登录URL
  • 实验 凭借在服务访问权限的影响

其他AWS服务

在此实验室中,您可以在执行此实验室指南中的步骤之外的操作时收到错误消息。这些消息不会影响您完成实验室的能力。

AWS. 身份和访问管理

AWS. 身份和访问管理(IAM)可用于:

  • 管理IAM用户及其访问: 您可以创建用户并为其分配单个安全凭据(访问键,密码和多因素身份验证设备)。您可以管理控制用户可以执行的操作的权限。

  • 管理IAM角色及其权限:  我是 角色与用户类似,因为它是一个有权策略的AWS标识,可以确定身份可以在AWS中做些什么。但是,而不是与一个人唯一关联,而是旨在成为一个角色 明确的 任何需要它的人。

  • 管理联合用户及其权限: 你可以启用 身份联合会 允许企业中的现有用户访问AWS管理控制台,调用AWS API并访问资源,而无需为每个标识创建IAM用户。

启动实验室

  1. 在屏幕顶部,通过单击启动实验室 启动实验室

这将启动配置实验室资源的过程。将显示估计提供您的实验资源的时间。您必须在继续之前等待您的资源。

 如果提示您输入令牌,请使用分发给您的人(或您购买的信用)。

  1. 点击打开实验室 打开控制台

这将自动将您登录到AWS管理控制台。

 除非指示,否则请勿更改该区域.

常见的登录错误

错误:联合登录凭据

如果您看到此消息:

  • 关闭浏览器选项卡以返回初始实验室窗口
  • 等几秒钟
  • 点击  打开控制台  再次

您现在应该能够访问AWS管理控制台。

错误:您必须首先退出

如果你看到这条消息, 您必须先在登录不同的AWS帐户之前注销:

  • 点击  点击这里
  • 关闭浏览器选项卡以返回初始QWiklabs窗口
  • 点击  打开控制台  再次

任务1:浏览用户和组

在此任务中,您将浏览在IAM中已为您创建的用户和组。

  1. 在里面   AWS. 管理控制台,在这方面 服务 菜单,点击  我是 .

  2. 在左侧导航窗格中,单击  用户 .

为您创建了以下IAM用户:

  • user-1
  • user-2
  • user-3
  1. 点击  user-1.

这将为用户-1带来摘要页面。这 权限 将显示选项卡。

  1. 请注意,User-1没有任何权限。

  2. 点击  团体   标签。

用户-1也不是任何组的成员。

  1. 点击 安全凭证  标签。

用户-1被分配了一个 控制台密码

  1. 在左侧导航窗格中,单击  团体 .

已为您创建以下组:

  • EC2-admin.
  • EC2支持
  • S3支持
  1. 点击 EC2支持  团体。

这将为您带来摘要页面 EC2支持  团体。

  1. 点击 权限  标签。

该组具有与之相关的托管政策,调用 Amazonec2Readonlyaccess.。托管策略是可以附加到IAM用户和组的预构建策略(由AWS或管理员构建)。更新策略后,立即针对附加到策略的所有用户和组进行策略的更改。

  1. 在下面  行动 , 点击 显示政策  关联。

策略定义允许的操作或拒绝特定AWS资源。此策略授予列出并描述EC2,弹性负载平衡,CloudWatch和Auto Scaling的信息的权限。此能够查看资源,但不会修改它们,是分配给支持角色的理想选择。

我是 政策中的陈述的基本结构是:

  • 影响  说是否  允许   或者   否定  权限。
  • 行动  指定可以针对AWS服务进行的API调用(例如  云 Watch:listmetrics. )。
  • 资源 定义策略规则所涵盖的实体的范围(例如特定的Amazon S3存储桶或Amazon EC2实例,或者*这意味着 任何资源 )。
  1. 关上 显示政策 窗户。

  2. 在左侧导航窗格中,单击  团体 .

  3. 点击 S3支持  团体。

S3支持组有 Amazons3Readonlyaccess. 附上政策。

  1. 以下 行动  菜单,单击 显示政策  关联。

此策略具有获取和列出Amazon S3中的资源的权限。

  1. 关上 显示政策 窗户。

  2. 在左侧导航窗格中,单击  团体 .

  3. 点击 EC2-admin.  团体。

这个小组与另外两个略有不同。代替 管理政策,它有一个 内联政策,这是分配给一个用户或组的策略。内联策略通常用于应用一次性情况的权限。

  1. 在下面  行动 , 点击  编辑政策 查看政策。

此策略授予允许查看(描述)关于Amazon EC2的信息以及启动和停止实例的能力。

  1. 在屏幕底部,单击  取消  关闭政策。

商业场景

对于此实验室的其余部分,您将使用这些用户和组,以启用支持以下业务方案的权限:

您的公司正在越来越越来越多地使用亚马逊网络服务,并使用许多亚马逊EC2实例以及大量的Amazon S3存储。您希望根据他们的工作职能访问新工作人员:

用户 在集团中 权限
user-1 S3支持 只读访问Amazon S3
user-2 EC2支持 对Amazon EC2的只读访问
user-3 EC2-admin. 查看,启动和停止Amazon EC2实例

任务2:将用户添加到组

你最近雇用了 user-1 成为他们将为Amazon S3提供支持的角色。你会将它们添加到 S3支持 小组使他们通过附件继承了必要的权限 Amazons3Readonlyaccess.  政策。

 你可以忽略任何"not authorized"此任务期间出现的错误。它们是由您的实验室帐户引起的权限有限,不会影响您完成实验室的能力。

将用户-1添加到S3支持组

  1. 在左侧导航窗格中,单击  团体 .

  2. 点击 S3支持  团体。

  3. 点击  用户   标签。

  4. 在里面   用户  选项卡,单击 将用户添加到组.

  5. 在里面  将用户添加到组 窗口,配置以下内容:

  • 选择   user-1.
  • 在屏幕底部,单击 添加用户.

在里面   用户  标签您将看到用户-1已添加到该组。

将User-2添加到EC2支持组

你雇了 user-2 进入他们将为亚马逊EC2提供支持的角色。

  1. 使用类似的步骤到上面的类似步骤,添加 user-2  到了  EC2支持  团体。

用户2现在应该是其中的一部分 EC2支持  团体。

将User-3添加到EC2-Admin组

你雇了 user-3 作为您管理EC2实例的Amazon EC2管理员。

  1. 使用类似的步骤到上面的类似步骤,添加 user-3  到了  EC2-admin.  团体。

用户3现在应该是其中的一部分 EC2-admin.  团体。

  1. 在左侧导航窗格中,单击  团体 .

每个小组应该有一个 1 在用户列中为每个组中的用户数。

如果你没有 1 在每个组旁边,重新访问上面的上述说明,以确保将每个用户分配给组,如业务方案部分中的表中所示。

任务3:登录和测试用户

在此任务中,您将测试每个IAM用户的权限。

  1. 在左侧导航窗格中,单击 仪表盘.

一个   我是 用户登录链接 显示它看起来与:  //123456789012.signin.aws.amazon.com/console

此链接可用于登录您当前正在使用的AWS帐户。

  1. 复制  我是 用户登录链接 到文本编辑器。

  2. 打开私人窗口。

火狐浏览器

  • 单击菜单栏  在屏幕的右上角
  • 选择  新私人窗口

谷歌浏览器

  • 单击省略号  在屏幕的右上角
  • 点击  新的隐姓埋名窗口

微软边缘

  • 单击省略号  在屏幕的右上角
  • 点击  新的inprivate窗口

Microsoft Internet Explorer.

  • 点击  工具  菜单选项
  • 点击  Inprivate浏览
  1. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

你现在将登录 user-1,谁已被聘为您的Amazon S3存储支持人员。

  1. 登陆使用:
  • 我是 用户名: 
  • 密码: 粘贴价值 管理员普遍方式 位于这些说明的左侧。
  1. 在里面  服务 菜单,点击 S3.

  2. 单击其中一个存储桶的名称并浏览内容。

由于您的用户是部分 S3支持 在IAM中的组,他们有权查看亚马逊S3存储桶及其内容的列表。

现在,测试他们是否可以访问亚马逊EC2。

  1. 在里面  服务 菜单,点击 EC2.

  2. 导航到您的实验室的区域:

  • 单击下拉  屏幕顶部的箭头,左侧  支持
  • 选择与值匹配的区域值  地区  在这些指示的左侧
  1. 在左侧导航窗格中,单击 实例.

你看不到任何情况!相反,它说 获取错误实例数据的错误:您无权执行此操作。。这是因为您的用户尚未为使用Amazon EC2分配任何权限。

你现在将登录 user-2,谁已被聘用为您的亚马逊EC2支持人员。

  1. 签署用户-1  AWS. 管理控制台 通过配置以下内容:
  • 在屏幕顶部,单击 user-1
  • 点击  登出
  1. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

此链接应在您的文本编辑器中。

  1. 登陆使用:
  • 我是 用户名: 
  • 密码: 粘贴价值 管理员普遍方式 位于这些说明的左侧。
  1. 在里面  服务 菜单,点击 EC2.

  2. 导航到您的实验室的区域:

  • 单击下拉  屏幕顶部的箭头,左侧  支持
  • 选择与值匹配的区域值  地区  在这些指示的左侧
  1. 在左侧导航窗格中,单击 实例.

您现在能够看到Amazon EC2实例,因为您只读了权限。但是,您将无法对Amazon EC2资源进行任何更改。

应选择EC2实例  如果未选择,请选择   它。

  1. 在里面  行动  菜单,点击 实例状态 >  停止 .

  2. 在里面  停止实例 窗口,点击 是的,停止.

您将收到错误陈述 您无权执行此操作。这表明该策略仅允许您提供信息,而不会进行更改。

  1.  停止实例 窗口,点击  取消 .

接下来,检查用户-2是否可以访问Amazon S3。

  1. 在里面  服务 , 点击  S3.

你会收到一个  错误访问被拒绝 因为User-2不允许使用Amazon S3。

你现在将登录 user-3,谁已被聘为您的亚马逊EC2管理员。

  1. 签署用户-2  AWS. 管理控制台 通过配置以下内容:
  • 在屏幕顶部,单击 user-2
  • 点击  登出
  1. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

  2. 再次将登录链接粘贴到Web浏览器地址栏中。如果它不在剪贴板中,请从您之前存储的文本编辑器中检索它。

  3. 登陆使用:

  • 我是 用户名: 
  • 密码: 粘贴价值 管理员普遍方式 位于这些说明的左侧。
  1. 在里面  服务 菜单,点击 EC2.

  2. 导航到您的实验室的区域:

  • 单击下拉  屏幕顶部的箭头,左侧  支持
  • 选择与值匹配的区域值  地区  在这些指示的左侧
  1. 在左侧导航窗格中,单击 实例.

作为EC2管理员,您现在应该具有停止Amazon EC2实例的权限。

应选择EC2实例 。如果不是,请选择   它。

  1. 在里面  行动  菜单,点击 实例状态 >  停止 .

  2. 在里面  停止实例 窗口,点击 是的,停止.

实例将进入 stop 国家并将关闭。

  1. 关闭您的私人窗口。

结束实验室

按照以下步骤关闭控制台,结束您的实验室,并评估体验。

  1. 返回AWS管理控制台。

  2. 在导航栏上,单击 [电子邮件 protected]<AccountNumber>,然后单击 登出.

  3. 点击   结束实验室

  4. 点击   好的

  5. (可选的):

  • 选择适用的星星数量 
  • 输入评论
  • 点击   提交

    • 1星=非常不满意
    • 2星=不满意
    • 3星=中性
    • 4星=满意
    • 5星=非常满意

如果你没有,你可以关闭对话'想要提供反馈。

结论

 恭喜!你现在已经成功了:

  • 探索预先创建的IAM用户和组
  • 检查IAM政策,适用于预先创建的群体
  • 遵循真实世界的方案,将用户添加到具有特定功能的组
  • 位于并使用IAM登录URL
  • 试验政策对服务访问的影响

  • 有关AWS培训和认证的更多信息,请参阅  http://aws.amazon.com/training/ .

  • 对于更多AWS自我节奏的实验室,见  http://amazon.qwiklabs.com .

有关反馈,建议或更正,请发送电子邮件给我们 [电子邮件 protected].

额外资源

有关反馈,建议或更正,请发送电子邮件给我们: [电子邮件 protected]

准备好了?

这里'我们认为你的另一个实验室'll like.

 
动手实验室

亚马逊虚拟私有云(VPC)简介

回复
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

YRZ7Giv.png(1405×895)

回复
分享: