论坛

通知事项
全部清除

AWS 身份和访问管理(IAM)简介  


 太极
帖子:83
主持人
主题启动器
(@太极)
会员
已加入:8个月前

 

 

用户 在组中 权限
user-1 S3-支持 只读访问Amazon S3
user-2 EC2-支持 对Amazon EC2的只读访问
user-3 EC2-管理员 查看,启动和停止Amazon EC2实例

任务2:将用户添加到组

您最近录用了user-1他们将为Amazon S3提供支持的角色。您将它们添加到S3-支持组,以便他们通过附件继承必要的权限AmazonS3ReadOnlyAccess政策。

您可以忽略此任务期间出现的任何“未授权”错误。它们是由您的实验室帐户具有有限的权限引起的,不会影响您完成实验室的能力。

将用户1添加到S3-Support组

 1. 在左侧导航窗格中,单击 团体 .

 2. 点击S3-支持 组。

 3. 点击 用户数 标签。

 4. 在里面 用户数 标签,点击将用户添加到组.

 5. 在里面 将用户添加到组窗口,配置以下内容:

 • 选择 user-1.
 • 在屏幕底部,单击添加用户.

在里面 用户数 标签,您将看到已将user-1添加到该组中。

将用户2添加到EC2-支持组

你已经录用了user-2他们将为Amazon EC2提供支持的角色。

 1. 使用与上述步骤类似的步骤,添加user-2EC2-支持 组。

用户2现在应该是EC2-支持 组。

将用户3添加到EC2-Admin组

你已经录用了user-3作为您的EC2实例的Amazon EC2管理员。

 1. 使用与上述步骤类似的步骤,添加user-3EC2-管理员 组。

用户3现在应该是EC2-管理员 组。

 1. 在左侧的导航窗格中,单击 团体 .

每个小组应有一个1在“用户”列中,获取每个组中的用户数。

如果您没有1在每个组旁边,重新访问上述说明,以确保将每个用户分配到一个组,如业务场景部分中的表所示。

任务3:登录并测试用户

在此任务中,您将测试每个IAM用户的权限。

 1. 在左侧的导航窗格中,单击仪表板.

一个 我是 用户登录链接显示类似于: //123456789012.signin.aws.amazon.com/console

该链接可用于登录您当前正在使用的AWS账户。

 1. 复制 我是 用户登录链接到文本编辑器。

 2. 打开一个私人窗口。

火狐浏览器

 • 点击屏幕右上方的菜单栏
 • 选择 新的私人视窗

谷歌浏览器

 • 单击屏幕右上方的省略号
 • 请点击 新的隐身窗口

微软Edge

 • 单击屏幕右上方的省略号
 • 请点击 新的InPrivate窗口

Microsoft Internet Explorer

 • 点击 工具类 菜单选项
 • 请点击 私人浏览
 1. 粘贴 我是 用户登录链接到您的私人窗口,然后按 输入 .

您现在将以user-1,已被聘为您的Amazon S3存储支持人员。

 1. 登陆使用:
 • 我是 用户名:
 • 密码:粘贴值管理员密码位于这些说明的左侧。
 1. 在里面 服务菜单,点击S3.

 2. 单击其中一个存储桶的名称,然后浏览内容。

由于您的用户是S3-支持在IAM中进行分组,他们有权查看Amazon S3存储桶及其内容的列表。

现在,测试他们是否有权访问Amazon EC2。

 1. 在里面 服务菜单,点击EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击屏幕顶部左侧的下拉箭头支持
 • 选择与值相匹配的区域值 地区 这些说明左侧
 1. 在左侧导航窗格中,单击执行个体.

您看不到任何实例!相反,它说提取实例数据时发生错误:您无权执行此操作。。这是因为尚未为您的用户分配使用Amazon EC2的任何权限。

您现在将以user-2,已被聘为您的Amazon EC2支持人员。

 1. 将用户1注销 AWS 管理控制台通过配置以下内容:
 • 在屏幕顶部,单击user-1
 • 请点击 登出
 1. 粘贴 我是 用户登录链接到您的私人窗口,然后按 输入 .

此链接应该在您的文本编辑器中。

 1. 登陆使用:
 • 我是 用户名:
 • 密码:粘贴值管理员密码位于这些说明的左侧。
 1. 在里面 服务菜单,点击EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击屏幕顶部左侧的下拉箭头支持
 • 选择与值相匹配的区域值 地区 这些说明左侧
 1. 在左侧的导航窗格中,单击执行个体.

现在您可以看到Amazon EC2实例,因为您具有“只读”权限。但是,您将无法对Amazon EC2资源进行任何更改。

应该选择您的EC2实例。如果未选择,请选择它。

 1. 在里面 动作菜单,点击实例状态> 停止 .

 2. 在里面 停止实例窗口,单击是的,停止.

您将收到一条错误消息,指出您无权执行此操作。这表明该策略仅允许您提供信息,而没有进行更改。

 1. 停止实例窗口,单击 取消 .

接下来,检查用户2是否可以访问Amazon S3。

 1. 在里面 服务,点击S3.

您将收到一个错误访问被拒绝因为user-2不允许使用Amazon S3。

您现在将以user-3,已被聘为您的Amazon EC2管理员。

 1. 将用户2退出 AWS 管理控制台通过配置以下内容:
 • 在屏幕顶部,单击user-2
 • 请点击 登出
 1. 粘贴 我是 用户登录链接到您的私人窗口,然后按 输入 .

 2. 再次将登录链接粘贴到您的Web浏览器地址栏中。如果它不在剪贴板中,请从之前存储它的文本编辑器中检索它。

 3. 登陆使用:

 • 我是 用户名:
 • 密码:粘贴值管理员密码位于这些说明的左侧。
 1. 在里面 服务菜单,点击EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击屏幕顶部左侧的下拉箭头支持
 • 选择与值相匹配的区域值 地区 这些说明左侧
 1. 在左侧的导航窗格中,单击执行个体.

作为EC2管理员,您现在应该有权停止Amazon EC2实例。

您的EC2实例应已选择。如果不是,请选择。

 1. 在里面 动作菜单,点击实例状态> 停止 .

 2. 在里面 停止实例窗口,单击是的,停止.

该实例将进入停止状态,将关闭。

 1. 关闭您的私人窗口。

结束实验室

请按照以下步骤关闭控制台,结束实验并评估体验。

 1. 返回AWS管理控制台。

 2. 在导航栏上,单击[电子邮件 protected]<AccountNumber>,然后单击登出.

 3. 请点击 结束实验室

 4. 请点击

 5. (可选的):

 • 选择适用的星数
 • 输入评论
 • 请点击 提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中立
  • 4星=满意
  • 5星=非常满意

如果您不想提供反馈,则可以关闭对话框。

结论

恭喜你!您现在已经成功:

 • 探索了预先创建的IAM用户和组
 • 适用于预先创建的组的已检查IAM策略
 • 遵循实际情况,将用户添加到启用了特定功能的组中
 • 找到并使用IAM登录URL
 • 实验了策略对服务访问的影响

 • 有关AWS培训和认证的更多信息,请参阅 http://aws.amazon.com/training/ .

 • 有关更多AWS自定进度实验室,请参阅 http://amazon.qwiklabs.com .

有关反馈,建议或更正,请发送电子邮件至[电子邮件 protected].

其他资源

有关反馈,建议或更正,请发送电子邮件至: aws- [电子邮件 protected]

 
 
2 回覆
 太极
帖子:83
主持人
主题启动器
(@太极)
会员
已加入:8个月前
00:45:00
 

AWS 身份和访问管理(IAM)简介

45分钟 自由

SPL-66-版本3.1.4

©2020 Amazon Web 服务,Inc.及其分支机构。版权所有。未经Amazon Web 服务,Inc.事先书面许可,不得全部或部分复制或再分发此作品。禁止商业复制,借出或出售。

错误或纠正?给我们发电子邮件 [电子邮件 protected].

还有其他问题吗?与我们联系  //aws.amazon.com/contact-us/aws-training/

实验室概述

AWS 身份和访问管理(IAM) 是一项Web服务,使Amazon Web 服务(AWS)客户可以管理AWS中的用户和用户权限。借助IAM,您可以集中管理  使用者 , 安全凭证 例如访问键,以及 权限 控制用户可以访问哪些AWS资源。

涵盖的主题

本实验将演示:

 • 探索预先创建的  我是 用户和组
 • 检查中  我是 政策 适用于预先创建的组
 • 跟随一个 真实场景,将用户添加到启用了特定功能的组中
 • 找到并使用  我是 登录网址
 • 实验中 政策对服务访问的影响

其他AWS服务

在本练习中,执行本练习指南中未介绍的步骤时,您可能会收到错误消息。这些消息不会影响您完成实验的能力。

AWS 身份和访问管理

AWS 身份和访问管理(IAM)可用于:

 • 管理IAM用户及其访问权限: 您可以创建用户并为他们分配单独的安全凭证(访问密钥,密码和多因素身份验证设备)。您可以管理权限以控制用户可以执行的操作。

 • 管理IAM角色及其权限:  我是 角色与用户相似,因为它是具有权限策略的AWS身份,该权限策略确定该身份在AWS中可以做什么和不能做什么。但是,角色不是要与一个人唯一地关联,而应该是 可设想的 任何需要它的人。

 • 管理联合用户及其权限: 您可以启用 身份联盟 允许企业中的现有用户访问AWS管理控制台,调用AWS API 和访问资源,而无需为每个身份创建IAM用户。

开始实验

 1. 在屏幕顶部,通过点击启动实验室 开始实验

这将开始配置实验室资源的过程。将显示提供实验室资源的估计时间。您必须等待资源调配后再继续。

 如果系统提示您输入令牌,请使用分配给您的令牌(或您购买的积分)。

 1. 通过单击打开您的实验室 打开控制台

这将自动将您登录到AWS管理控制台。

 除非有指示,否则请勿更改地区.

常见的登录错误

错误:联合登录凭证

如果看到此消息:

 • 关闭浏览器选项卡以返回到初始实验室窗口
 • 等待几秒钟
 • 请点击  打开控制台  再次

现在,您应该能够访问AWS管理控制台。

错误:您必须先注销

如果您看到该消息, 您必须先注销,然后再登录其他AWS账户:

 • 请点击  点击这里
 • 关闭浏览器选项卡以返回到初始Qwiklabs窗口
 • 请点击  打开控制台  再次

任务1:探索用户和组

在此任务中,您将探索在IAM中已经为您创建的用户和组。

 1. 在里面   AWS 管理控制台,在 服务 菜单,点击  我是 .

 2. 在左侧的导航窗格中,单击  用户数 .

已为您创建以下IAM用户:

 • user-1
 • user-2
 • user-3
 1. 请点击  user-1.

这将打开用户1的摘要页面。的 权限 标签将显示。

 1. 请注意,user-1没有任何权限。

 2. 点击  团体   标签。

user-1也不是任何组的成员。

 1. 点击 安全凭证  标签。

用户1被分配了一个 控制台密码

 1. 在左侧的导航窗格中,单击  团体 .

已经为您创建了以下组:

 • EC2-管理员
 • EC2-支持
 • S3-支持
 1. 点击 EC2-支持  组。

这将带您进入摘要页面 EC2-支持  组。

 1. 点击 权限  标签。

该组具有与其关联的托管策略,称为 AmazonEC2ReadOnlyAccess。托管策略是可以附加到IAM用户和组的预构建策略(由AWS或您的管理员构建)。更新策略后,对策略的更改将立即应用于该策略所附加的所有用户和组。

 1.  动作, 点击 显示政策  链接。

策略定义了针对特定AWS资源允许或拒绝的操作。此策略授予“列出和描述有关EC2,Elastic Load Balancing,CloudWatch和Auto Scaling的信息”的权限。这种查看资源而不修改资源的能力非常适合分配给支持角色。

我是 策略中语句的基本结构为:

 • 影响  说是否  允许   要么   拒绝  权限。
 • 行动  指定可以针对AWS服务进行的API调用(例如, cloudwatch:ListMetrics )。
 • 资源资源 定义策略规则涵盖的实体范围(例如,特定的Amazon S3存储桶或Amazon EC2实例,或*表示 任何资源 )。
 1. 关上 显示政策 窗口。

 2. 在左侧的导航窗格中,单击  团体 .

 3. 点击 S3-支持  组。

S3-支持组具有 AmazonS3ReadOnlyAccess 附加政策。

 1. 以下 动作 菜单中,点击 显示政策  链接。

该策略具有在Amazon S3中获取和列出资源的权限。

 1. 关上 显示政策 窗口。

 2. 在左侧的导航窗格中,单击  团体 .

 3. 点击 EC2-管理员  组。

该组与其他两个组略有不同。代替 托管政策,它有一个 内联政策,这是仅分配给一个用户或组的策略。内联策略通常用于一次性情况下的权限。

 1.  动作,点击 修改政策 查看政策。

此策略授予查看(描述)有关Amazon EC2信息的权限,以及启动和停止实例的能力。

 1. 在屏幕底部,单击  取消  关闭政策。

业务场景

在本练习的其余部分,您将与这些用户和组一起使用以启用支持以下业务场景的权限:

您的公司正在越来越多地使用Amazon Web 服务,并且正在使用许多Amazon EC2实例和大量Amazon S3存储。您希望根据新员工的工作职能授予他们访问权限:

用户 在组中 权限
user-1 S3-支持 只读访问Amazon S3
user-2 EC2-支持 对Amazon EC2的只读访问
user-3 EC2-管理员 查看,启动和停止Amazon EC2实例

任务2:将用户添加到组

您最近录用了 user-1 他们将为Amazon S3提供支持的角色。您将它们添加到 S3-支持 组,以便他们通过附件继承必要的权限 AmazonS3ReadOnlyAccess 政策。

 您可以忽略此任务期间出现的任何“未授权”错误。它们是由您的实验室帐户具有有限的权限引起的,不会影响您完成实验室的能力。

将用户1添加到S3-Support组

 1. 在左侧导航窗格中,单击  团体 .

 2. 点击 S3-支持  组。

 3. 点击  用户数   标签。

 4. 在里面   用户数  标签,点击 将用户添加到组.

 5. 在里面  将用户添加到组 窗口,配置以下内容:

 • 选择   user-1.
 • 在屏幕底部,单击 添加用户.

在里面   用户数  标签,您将看到已将user-1添加到该组中。

将用户2添加到EC2-支持组

你已经录用了 user-2 他们将为Amazon EC2提供支持的角色。

 1. 使用与上述步骤类似的步骤,添加 user-2  EC2-支持  组。

用户2现在应该是 EC2-支持  组。

将用户3添加到EC2-Admin组

你已经录用了 user-3 作为您的EC2实例的Amazon EC2管理员。

 1. 使用与上述步骤类似的步骤,添加 user-3  EC2-管理员  组。

用户3现在应该是 EC2-管理员  组。

 1. 在左侧的导航窗格中,单击  团体 .

每个小组应有一个 1 在“用户”列中,获取每个组中的用户数。

如果您没有 1 在每个组旁边,重新访问上述说明,以确保将每个用户分配到一个组,如业务场景部分中的表所示。

任务3:登录并测试用户

在此任务中,您将测试每个IAM用户的权限。

 1. 在左侧的导航窗格中,单击 仪表板.

一个   我是 用户登录链接 显示类似于:  //123456789012.signin.aws.amazon.com/console

该链接可用于登录您当前正在使用的AWS账户。

 1. 复制  我是 用户登录链接 到文本编辑器。

 2. 打开一个私人窗口。

火狐浏览器

 • 点击菜单栏  在屏幕的右上方
 • 选择  新的私人视窗

谷歌浏览器

 • 单击省略号  在屏幕的右上方
 • 请点击  新的隐身窗口

微软Edge

 • 单击省略号  在屏幕的右上方
 • 请点击  新的InPrivate窗口

Microsoft Internet Explorer

 • 点击  工具类  菜单选项
 • 请点击  私人浏览
 1. 粘贴  我是 用户登录 链接到您的私人窗口,然后按  输入 .

您现在将以 user-1,已被聘为您的Amazon S3存储支持人员。

 1. 登陆使用:
 • 我是 用户名: 
 • 密码: 粘贴值 管理员密码 位于这些说明的左侧。
 1. 在里面  服务 菜单,点击 S3.

 2. 单击其中一个存储桶的名称,然后浏览内容。

由于您的用户是 S3-支持 在IAM中进行分组,他们有权查看Amazon S3存储桶及其内容的列表。

现在,测试他们是否有权访问Amazon EC2。

 1. 在里面  服务 菜单,点击 EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击下拉菜单  屏幕顶部的箭头,位于屏幕的左侧 支持
 • 选择与值相匹配的区域值  地区  这些说明左侧
 1. 在左侧导航窗格中,单击 执行个体.

您看不到任何实例!相反,它说 提取实例数据时发生错误:您无权执行此操作。。这是因为尚未为您的用户分配使用Amazon EC2的任何权限。

您现在将以 user-2,已被聘为您的Amazon EC2支持人员。

 1. 将用户1注销  AWS 管理控制台 通过配置以下内容:
 • 在屏幕顶部,单击 user-1
 • 请点击  登出
 1. 粘贴  我是 用户登录 链接到您的私人窗口,然后按  输入 .

此链接应该在您的文本编辑器中。

 1. 登陆使用:
 • 我是 用户名: 
 • 密码: 粘贴值 管理员密码 位于这些说明的左侧。
 1. 在里面  服务 菜单,点击 EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击下拉菜单  屏幕顶部的箭头,位于屏幕的左侧 支持
 • 选择与值相匹配的区域值  地区  这些说明左侧
 1. 在左侧的导航窗格中,单击 执行个体.

现在您可以看到Amazon EC2实例,因为您具有“只读”权限。但是,您将无法对Amazon EC2资源进行任何更改。

您的EC2实例应被选中  如果未选中,请选择   它。

 1. 在里面  动作 菜单,点击 实例状态 >  停止 .

 2. 在里面  停止实例 窗口,单击 是的,停止.

您将收到一条错误消息,指出 您无权执行此操作。这表明该策略仅允许您提供信息,而没有进行更改。

 1.  停止实例 窗口,单击  取消 .

接下来,检查用户2是否可以访问Amazon S3。

 1. 在里面  服务,点击 S3.

您将收到一个  错误访问被拒绝 因为user-2不允许使用Amazon S3。

您现在将以 user-3,已被聘为您的Amazon EC2管理员。

 1. 将用户2退出  AWS 管理控制台 通过配置以下内容:
 • 在屏幕顶部,单击 user-2
 • 请点击  登出
 1. 粘贴  我是 用户登录 链接到您的私人窗口,然后按  输入 .

 2. 再次将登录链接粘贴到您的Web浏览器地址栏中。如果它不在剪贴板中,请从之前存储它的文本编辑器中检索它。

 3. 登陆使用:

 • 我是 用户名: 
 • 密码: 粘贴值 管理员密码 位于这些说明的左侧。
 1. 在里面  服务 菜单,点击 EC2.

 2. 导航到您的实验室在其中启动的区域:

 • 点击下拉菜单  屏幕顶部的箭头,位于屏幕的左侧 支持
 • 选择与值相匹配的区域值  地区  这些说明左侧
 1. 在左侧的导航窗格中,单击 执行个体.

作为EC2管理员,您现在应该有权停止Amazon EC2实例。

您的EC2实例应被选中 。如果不是,请选择   它。

 1. 在里面  动作 菜单,点击 实例状态 >  停止 .

 2. 在里面  停止实例 窗口,单击 是的,停止.

该实例将进入 停止 状态,将关闭。

 1. 关闭您的私人窗口。

结束实验室

请按照以下步骤关闭控制台,结束实验并评估体验。

 1. 返回AWS管理控制台。

 2. 在导航栏上,单击 [电子邮件 protected]<AccountNumber>,然后单击 登出.

 3. 请点击  结束实验室

 4. 请点击  

 5. (可选的):

 • 选择适用的星数 
 • 输入评论
 • 请点击   提交

  • 1星=非常不满意
  • 2星=不满意
  • 3星=中立
  • 4星=满意
  • 5星=非常满意

如果您不想提供反馈,则可以关闭对话框。

结论

 恭喜你!您现在已经成功:

 • 探索了预先创建的IAM用户和组
 • 适用于预先创建的组的已检查IAM策略
 • 遵循实际情况,将用户添加到启用了特定功能的组中
 • 找到并使用IAM登录URL
 • 实验了策略对服务访问的影响

 • 有关AWS培训和认证的更多信息,请参阅  http://aws.amazon.com/training/ .

 • 有关更多AWS自定进度实验室,请参阅  http://amazon.qwiklabs.com .

有关反馈,建议或更正,请发送电子邮件至 [电子邮件 protected].

其他资源

有关反馈,建议或更正,请发送电子邮件至: [电子邮件 protected]

准备更多吗?

这是我们认为您会喜欢的另一个实验室。

 
手持实验室

Amazon Virtual 私人的 云 (VPC)简介

回复
 太极
帖子:83
主持人
主题启动器
(@太极)
会员
已加入:8个月前

yRz7gIV.png(1405×895)

回复
分享: