AWS 4 IAM_AWS CLI
作者:互联网
IMA
身份和访问管理
我们创建用户分组,我们在不知情使用了IAM.
根用户
根用户 有多个组, 组里面只能包含用户, 不能包含其他组,
用户可以不属于任何组,这样虽然不好,但是AWS可以这样进行
一个用户可以属于多个组
但用户使用AWS时,允许他们这么做,必须给权限
这样就可以分配用户到组
政策:
用户可以做什么,组可以做什么
EC2进行维护和描述
EC2弹性负载平衡
策略将帮助我们定义权限
为该用户创建一个权限
为用户和组可以分配权限
创建组 admin 分配政策 AdministratorAccess
创建用户 xinbinxu 密码 Xinbin12!@ 属于admin组。
给根用户定义别名
xinbinxu-aws
此账户中 IAM 用户的登录 URL
https://xinbinxu-aws.signin.aws.amazon.com/console
IMA政策
一个用户可以是多个组,每个组可以有政策
一个用户有多个政策,控制用户权限
政策可以自定义
UI/ JSON 两种方式
1.有版本号,2有唯一标识ID 3.有一个或多个语句
语句包含 1.唯一标识 2.允许访问字段 3 账号 角色 用户 政策使用原则
4. 政策的请求API列表 5 政策的访问资源列表 6. 可以增加其他条件
IMA 的MFA
保护账号安全
1.密码复杂性
2.MFA 密码和设备的虚拟ID结合
虚拟MFA设备 (1. plone only单设备, 2.Authy多设备)
Universal 2nd Factor (U2F) 第三方物理设备密钥
第三方遥控设备 (Gemalto、SurePassID)
1. 可以在iam 账户设置 设定 密码策略
2.可以在用户右上角点击 Security credentials
设置MFA, 手机下载App,和设备绑定 每次登录通过
手机的动态码进行登录。所以手机不能丢失,否则无法登录账户
访问AWS 三种
1. 管理控制台
2. CLI 命令行界面 Command Line Interface,
3. SDK 代码访问 Software Development Kit
支持多种语言包括java
window安装 aws cli版本
百度搜索 aws CLI install windows
安装步骤 下载运行 AWSCLIV2.msi
在命令行输入 aws --version
确保安装成功
命令输入 aws configure 进行绑定本地key
密钥ID,秘密访问密钥
region 我选择的是首尔 ap-northeast-2
回车
命令 aws iam list-users 看当前用户信息
在使用根用户删除 iam用户权限后,
iam用户不能看到用户
使用 aws iam list-users 也不能
说明 根用户可以控制 iam用户
并且iam用户和 aws CLI通过 密钥配置后,
是具有一样的权限
AWS CloudShell
指定的地区可以使用
https://docs.aws.amazon.com/general/latest/gr/cloudshell.html
云端命令行,它可以上传下载文件,也可以改变shell风格字体,
还可以开多个窗口
IAM Roles for Services
AWS中的服务如果想要去访问其他服务,也是需要权限控制的
我们通过IAM Roles这样实现统一权限管理,用来管理aws服务是否
有权限访问其他服务
常见的角色有: EC2 Instance Roles, Lambda FUnction Roles, Roles for CloudFormation
在用户 Role可以创建Role eg:
DemoRoleForEC2 是AWS 服务: ec2 权限的策略是: IAMReadOnlyAccess
IAM 安全工具
账户级别报告
此报告将包含您的所有帐户用户以及他们各种证书的状态。
IAM访问顾问。
访问顾问将展示授予用户的服务权限以及上次访问这些服务的时间
关于最低特权原则,不使用,并减少用户可以获得的权限
凭证报告 在IAM左侧选中下载可以查看实时信息
在用户详情 访问顾问tab 可以查看访问了那些服务和时间
标签:IAM,CLI,AWS,aws,用户,访问,权限 来源: https://www.cnblogs.com/ives-xu/p/16133430.html