首页 > 代码库 > AWS - IAM 的管理(上)

AWS - IAM 的管理(上)

创建AWS的账号之后,用户就可以通过这个email账号和密码登陆了。不过这个主账号的权限实在是太大了,从管理和安全的角度来说我们都需要限制不同用户的访问权限,这个可以通过IAM来实现。即使是管理员本身,平常也应该尽量避免直接使用主账号,而使用具有管理权限的IAM账号。


豆子小结了一下3个常用的知识点:


  1. 创建基本的账号和组;

  2. MFA绑定账号

  3. 自定义Role(角色)


首先我们来看看如何创建一个基本的IAM 组和 账号


首先用主账号登陆,然后点开IAM的管理界面,我们可以先创建一个管理员组



wKiom1OyLE2QrTD8AAA7e-4hy0A496.png


名字就叫administrators好了

wKiom1OyLE6CfzJLAAAoQRfmFBU909.png


默认的3个模板, Administrator access 模板可以允许访问除了账单系统以外的所有服务和资源;Power User 可以访问除了账单系统和用户系统之外的服务和资源;Read Only 就只有只读服务了。这里我们选择第一个模板

wKioL1OyLCGyHLfLAABhH9Fenfk170.png


组就创建好了

wKiom1OyLFHTK6LvAABjIBWh27o407.png


接下来,我们创建一个新用户,名字就叫做Yuan, 注意下面那个access key的选项主要是用来生成验证密码了以便用户能够远程的访问API接口(具体使用可以参加前一篇关于如何在windows下使用命令行的博文)。如果只打算使用图形界面,这个是可有可无的。

wKioL1OyLCOgUlbpAAA3L9nCRBE484.png

然后把yuan加入administrators 组,yuan就自动获取了管理权限。


wKioL1OyLCaStfW6AABkJjloXPg676.png


别忘记设置用户的密码

wKiom1OyLFixEPgUAABv_wef9sg321.png


这样一个基本的用户组和管理员就设定好了。



接下来我们看看如何进一步加强安全性,我们可以给用户绑定MFA验证。


wKioL1OyLCvjfxNyAABcEDeBS6g964.png

点击进入配置,一般方便使用,可以使用Virtual MFA device。我们可以安装Google authenticator 到iphone, android 手机或者PC上面,每次登陆的时候除了用户名和密码,还需要输入authenticator提供的验证码


wKiom1OyLFuj2kErAAAoUBPOBQs104.png

wKioL1OyLC2j-Tn3AAA1TmM9WU0845.png

点击Countinue之后会出现一个巨大的二维码


然后我在我的iphone上下载安装了goolge authenticator (左下角的白***标)


wKioL1OyMDPzkgSGAA9DhLNyu1U947.png


打开之后

wKioL1OyMDjj5_IjAAHeOJIQHJk584.png

选择Scan Barcode, 扫描二维码

wKioL1OyMDyjuDEOAAHjtaxKSvo198.png


会自动绑定Yuan的账号,并实时的生成验证码,该验证码每30秒会变化一次。

连续两次输入验证码。

wKioL1OyMEGRXh1OAAH6BTUOrLs091.png

wKiom1OyMHXiXNTbAAH8OB0UQYA671.png


绑定就成功了。

wKiom1OyLFzA5QSlAAAQvoFInoI933.png


最后,别忘了配置用户登陆的URL。

wKiom1OyLGCgiulfAAEZ8pvLI1c986.png


浏览器里输入以上https://beanxyz.signin.aws.amazon.com/console


然后输入username, password和 MFA code (手机程序),就可以登陆了

wKiom1OyMbHQB17UAAAhYnAQUA4932.png


登陆以后,右上角可以看见当前登陆名

wKioL1OyMYOzkT66AAAO5aP8eMw164.png




下一篇豆子来试试看在IAM里面如何自定义角色



本文出自 “麻婆豆腐” 博客,请务必保留此出处http://beanxyz.blog.51cto.com/5570417/1433013