SPL-66 - 版本3.1.4

©2020 Amazon Web Services，Inc。及其附属公司。版权所有。未经亚马逊Web服务，Inc。禁止商业复制，贷款或销售，全部或部分不得重现或重新分发或重新分配或重新分配这项工作。

错误或更正？给我们发电子邮件 [电子邮件 protected].

其他问题？联系我们  //aws.amazon.com/contact-us/aws-training/

实验室概述

AWS. 身份和访问管理（IAM） 是一个Web服务，使Amazon Web服务（AWS）客户能够管理AWS中的用户和用户权限。与IAM，您可以集中管理  用户 , 安全凭证 如访问键，和 权限 该控制AWS资源用户可以访问。

主题涵盖

这个实验室将展示：

• 探索预先创建的  我是 用户和团体
• 检查  我是 政策 适用于预先创建的群体
• 遵循A. 现实世界的情景，将用户添加到具有特定功能的组
• 定位和使用  我是 登录URL
• 实验 凭借在服务访问权限的影响

其他AWS服务

在此实验室中，您可以在执行此实验室指南中的步骤之外的操作时收到错误消息。这些消息不会影响您完成实验室的能力。

AWS. 身份和访问管理

AWS. 身份和访问管理（IAM）可用于：

• 管理IAM用户及其访问： 您可以创建用户并为其分配单个安全凭据（访问键，密码和多因素身份验证设备）。您可以管理控制用户可以执行的操作的权限。

• 管理IAM角色及其权限：  我是 角色与用户类似，因为它是一个有权策略的AWS标识，可以确定身份可以在AWS中做些什么。但是，而不是与一个人唯一关联，而是旨在成为一个角色 明确的 任何需要它的人。

• 管理联合用户及其权限： 你可以启用 身份联合会 允许企业中的现有用户访问AWS管理控制台，调用AWS API并访问资源，而无需为每个标识创建IAM用户。

启动实验室

1. 在屏幕顶部，通过单击启动实验室 启动实验室

这将启动配置实验室资源的过程。将显示估计提供您的实验资源的时间。您必须在继续之前等待您的资源。

 如果提示您输入令牌，请使用分发给您的人（或您购买的信用）。

2. 点击打开实验室 打开控制台

这将自动将您登录到AWS管理控制台。

 除非指示，否则请勿更改该区域.

常见的登录错误

错误：联合登录凭据

如果您看到此消息：

• 关闭浏览器选项卡以返回初始实验室窗口
• 等几秒钟
• 点击  打开控制台  再次

您现在应该能够访问AWS管理控制台。

错误：您必须首先退出

如果你看到这条消息， 您必须先在登录不同的AWS帐户之前注销：

• 点击  点击这里
• 关闭浏览器选项卡以返回初始QWiklabs窗口
• 点击  打开控制台  再次

任务1：浏览用户和组

在此任务中，您将浏览在IAM中已为您创建的用户和组。

3. 在里面   AWS. 管理控制台，在这方面 服务 菜单，点击  我是 .

4. 在左侧导航窗格中，单击  用户 .

为您创建了以下IAM用户：

• user-1
• user-2
• user-3

5. 点击  user-1.

这将为用户-1带来摘要页面。这 权限 将显示选项卡。

6. 请注意，User-1没有任何权限。

7. 点击  团体   标签。

用户-1也不是任何组的成员。

8. 点击 安全凭证  标签。

用户-1被分配了一个 控制台密码

9. 在左侧导航窗格中，单击  团体 .

已为您创建以下组：

• EC2-admin.
• EC2支持
• S3支持

10. 点击 EC2支持  团体。

这将为您带来摘要页面 EC2支持  团体。

11. 点击 权限  标签。

该组具有与之相关的托管政策，调用 Amazonec2Readonlyaccess.。托管策略是可以附加到IAM用户和组的预构建策略（由AWS或管理员构建）。更新策略后，立即针对附加到策略的所有用户和组进行策略的更改。

12. 在下面  行动 ， 点击 显示政策  关联。

策略定义允许的操作或拒绝特定AWS资源。此策略授予列出并描述EC2，弹性负载平衡，CloudWatch和Auto Scaling的信息的权限。此能够查看资源，但不会修改它们，是分配给支持角色的理想选择。

我是 政策中的陈述的基本结构是：

• 影响  说是否  允许   或者   否定  权限。
• 行动  指定可以针对AWS服务进行的API调用（例如  云 Watch：listmetrics. ）。
• 资源 定义策略规则所涵盖的实体的范围（例如特定的Amazon S3存储桶或Amazon EC2实例，或者*这意味着 任何资源 ）。

13. 关上 显示政策 窗户。

14. 在左侧导航窗格中，单击  团体 .

15. 点击 S3支持  团体。

S3支持组有 Amazons3Readonlyaccess. 附上政策。

16. 以下 行动  菜单，单击 显示政策  关联。

此策略具有获取和列出Amazon S3中的资源的权限。

17. 关上 显示政策 窗户。

18. 在左侧导航窗格中，单击  团体 .

19. 点击 EC2-admin.  团体。

这个小组与另外两个略有不同。代替 管理政策，它有一个 内联政策，这是分配给一个用户或组的策略。内联策略通常用于应用一次性情况的权限。

20. 在下面  行动 ， 点击  编辑政策 查看政策。

此策略授予允许查看（描述）关于Amazon EC2的信息以及启动和停止实例的能力。

21. 在屏幕底部，单击  取消  关闭政策。

商业场景

对于此实验室的其余部分，您将使用这些用户和组，以启用支持以下业务方案的权限：

您的公司正在越来越越来越多地使用亚马逊网络服务，并使用许多亚马逊EC2实例以及大量的Amazon S3存储。您希望根据他们的工作职能访问新工作人员：

用户	在集团中	权限
user-1	S3支持	只读访问Amazon S3
user-2	EC2支持	对Amazon EC2的只读访问
user-3	EC2-admin.	查看，启动和停止Amazon EC2实例

任务2：将用户添加到组

你最近雇用了 user-1 成为他们将为Amazon S3提供支持的角色。你会将它们添加到 S3支持 小组使他们通过附件继承了必要的权限 Amazons3Readonlyaccess.  政策。

 你可以忽略任何"not authorized"此任务期间出现的错误。它们是由您的实验室帐户引起的权限有限，不会影响您完成实验室的能力。

将用户-1添加到S3支持组

22. 在左侧导航窗格中，单击  团体 .

23. 点击 S3支持  团体。

24. 点击  用户   标签。

25. 在里面   用户  选项卡，单击 将用户添加到组.

26. 在里面  将用户添加到组 窗口，配置以下内容：

• 选择   user-1.
• 在屏幕底部，单击 添加用户.

在里面   用户  标签您将看到用户-1已添加到该组。

将User-2添加到EC2支持组

你雇了 user-2 进入他们将为亚马逊EC2提供支持的角色。

27. 使用类似的步骤到上面的类似步骤，添加 user-2  到了  EC2支持  团体。

用户2现在应该是其中的一部分 EC2支持  团体。

将User-3添加到EC2-Admin组

你雇了 user-3 作为您管理EC2实例的Amazon EC2管理员。

28. 使用类似的步骤到上面的类似步骤，添加 user-3  到了  EC2-admin.  团体。

用户3现在应该是其中的一部分 EC2-admin.  团体。

29. 在左侧导航窗格中，单击  团体 .

每个小组应该有一个 1 在用户列中为每个组中的用户数。

如果你没有 1 在每个组旁边，重新访问上面的上述说明，以确保将每个用户分配给组，如业务方案部分中的表中所示。

任务3：登录和测试用户

在此任务中，您将测试每个IAM用户的权限。

30. 在左侧导航窗格中，单击 仪表盘.

一个   我是 用户登录链接 显示它看起来与：  //123456789012.signin.aws.amazon.com/console

此链接可用于登录您当前正在使用的AWS帐户。

31. 复制  我是 用户登录链接 到文本编辑器。

32. 打开私人窗口。

火狐浏览器

• 单击菜单栏  在屏幕的右上角
• 选择  新私人窗口

谷歌浏览器

• 单击省略号  在屏幕的右上角
• 点击  新的隐姓埋名窗口

微软边缘

• 单击省略号  在屏幕的右上角
• 点击  新的inprivate窗口

Microsoft Internet Explorer.

• 点击  工具  菜单选项
• 点击  Inprivate浏览

33. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

你现在将登录 user-1，谁已被聘为您的Amazon S3存储支持人员。

34. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴价值 管理员普遍方式 位于这些说明的左侧。

35. 在里面  服务 菜单，点击 S3.

36. 单击其中一个存储桶的名称并浏览内容。

由于您的用户是部分 S3支持 在IAM中的组，他们有权查看亚马逊S3存储桶及其内容的列表。

现在，测试他们是否可以访问亚马逊EC2。

37. 在里面  服务 菜单，点击 EC2.

38. 导航到您的实验室的区域：

• 单击下拉  屏幕顶部的箭头，左侧  支持
• 选择与值匹配的区域值  地区  在这些指示的左侧

39. 在左侧导航窗格中，单击 实例.

你看不到任何情况！相反，它说 获取错误实例数据的错误：您无权执行此操作。。这是因为您的用户尚未为使用Amazon EC2分配任何权限。

你现在将登录 user-2，谁已被聘用为您的亚马逊EC2支持人员。

40. 签署用户-1  AWS. 管理控制台 通过配置以下内容：

• 在屏幕顶部，单击 user-1
• 点击  登出

41. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

此链接应在您的文本编辑器中。

42. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴价值 管理员普遍方式 位于这些说明的左侧。

43. 在里面  服务 菜单，点击 EC2.

44. 导航到您的实验室的区域：

• 单击下拉  屏幕顶部的箭头，左侧  支持
• 选择与值匹配的区域值  地区  在这些指示的左侧

45. 在左侧导航窗格中，单击 实例.

您现在能够看到Amazon EC2实例，因为您只读了权限。但是，您将无法对Amazon EC2资源进行任何更改。

应选择EC2实例  如果未选择，请选择   它。

46. 在里面  行动  菜单，点击 实例状态 >  停止 .

47. 在里面  停止实例 窗口，点击 是的，停止.

您将收到错误陈述 您无权执行此操作。这表明该策略仅允许您提供信息，而不会进行更改。

48. 当  停止实例 窗口，点击  取消 .

接下来，检查用户-2是否可以访问Amazon S3。

49. 在里面  服务 ， 点击  S3.

你会收到一个  错误访问被拒绝 因为User-2不允许使用Amazon S3。

你现在将登录 user-3，谁已被聘为您的亚马逊EC2管理员。

50. 签署用户-2  AWS. 管理控制台 通过配置以下内容：

• 在屏幕顶部，单击 user-2
• 点击  登出

51. 粘贴  我是 用户登录 链接到您的私人窗口并按  进入 .

52. 再次将登录链接粘贴到Web浏览器地址栏中。如果它不在剪贴板中，请从您之前存储的文本编辑器中检索它。

53. 登陆使用：

• 我是 用户名： 
• 密码： 粘贴价值 管理员普遍方式 位于这些说明的左侧。

54. 在里面  服务 菜单，点击 EC2.

55. 导航到您的实验室的区域：

• 单击下拉  屏幕顶部的箭头，左侧  支持
• 选择与值匹配的区域值  地区  在这些指示的左侧

56. 在左侧导航窗格中，单击 实例.

作为EC2管理员，您现在应该具有停止Amazon EC2实例的权限。

应选择EC2实例 。如果不是，请选择   它。

57. 在里面  行动  菜单，点击 实例状态 >  停止 .

58. 在里面  停止实例 窗口，点击 是的，停止.

实例将进入 stop 国家并将关闭。

59. 关闭您的私人窗口。

结束实验室

按照以下步骤关闭控制台，结束您的实验室，并评估体验。

60. 返回AWS管理控制台。

61. 在导航栏上，单击 [电子邮件 protected]<AccountNumber>，然后单击 登出.

62. 点击   结束实验室

63. 点击   好的

64. （可选的）：

• 选择适用的星星数量 
• 输入评论

• 点击   提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中性
  • 4星=满意
  • 5星=非常满意

如果你没有，你可以关闭对话'想要提供反馈。

结论

 恭喜！你现在已经成功了：

• 探索预先创建的IAM用户和组
• 检查IAM政策，适用于预先创建的群体
• 遵循真实世界的方案，将用户添加到具有特定功能的组
• 位于并使用IAM登录URL

• 试验政策对服务访问的影响

• 有关AWS培训和认证的更多信息，请参阅  http://aws.amazon.com/training/ .

• 对于更多AWS自我节奏的实验室，见  http://amazon.qwiklabs.com .

有关反馈，建议或更正，请发送电子邮件给我们 [电子邮件 protected].

额外资源

• AWS. 培训和认证
• 有关AWS IAM的更多信息

有关反馈，建议或更正，请发送电子邮件给我们： [电子邮件 protected]