最近, AWS宣布,自今年6月30日起,必须将IAM角色及其EMR服务一起使用。 在本文中,我将向您展示从AWS开始时如何设置IAM基础。 从头开始使用新的AWS帐户时,您将看到以下管理控制台。 选择选项身份和访问管理,以便我们开始创建用户,角色等: 
我要做的第一件事是通过更改登录链接来创建友好的登录URL:
我做这样的事情:
现在,我设置的用户可以使用此链接登录到AWS。 我们在IAM仪表板中看到的是,我们仅完成了5个安全步骤中的1个,这是AWS的最佳实践 :
实际上,步骤1是针对新帐户自动完成的。 第二个项目符号指出,我们应该为根帐户设置MFA( 多因素身份验证 )。 因此,让我们这样做。 我们需要选择MFA设备的类型:
由于我想在iPhone上使用Google Authenticator App ,因此我选择了“虚拟MFA设备”并转到下一步:
现在,我可以使用手机上的应用程序扫描QR码 ,并填写两个连续的访问码,就可以完成了。 当我注销并使用根帐户再次登录时,我还必须提供通过手机上的Google Authenticator应用生成的访问代码。
第三个项目符号说,我应该设置单个IAM用户,这样就无需使用root帐户登录即可使用AWS。 因此,让我们通过单击新用户按钮来创建用户:
输入用户名后,将显示以下屏幕,我们可以在其中看到该用户的访问ID和秘密密钥。 注意将这些内容保密! 我在这里显示它们是因为在这篇文章之后我将删除该用户,但是通常您会下载凭据并将其仅提供给将使用它们的用户(使用SDK套件或API调用 ):
现在,我们已经创建了一个用户,但是由于该用户尚未设置密码,因此该用户无法登录控制台。 为此,我们选择用户并转到用户操作,然后选择“管理密码”:
现在,我们可以选择自己设置密码或让AWS创建一个密码。 另外,我们可以选择让用户在首次登录后输入新密码:
生成密码后,我们将再次显示一个家庭屏幕,在其中我们可以显示和下载生成的密码,然后将其提供给我们的用户,以便他/她可以登录到管理控制台 :
现在,我们有一个用户(不是root用户)可以登录管理控制台,并且能够使用SDK和API来访问AWS资源。 最后要做的是,我们必须授予他对我们的AWS资源的权限。 但是,最好的做法是创建具有特定权限的组,然后将单个用户分配给组以授予权限,而不是向单个用户授予权限。 因此,让我们继续第四个项目符号,然后继续“管理组”:
创建一个新组并为其命名,例如“ developers”:
接下来,我们可以为其分配策略。 如您所见,有很多政策可供选择。 我只是在这里使用“ PowerUser模板”:
查看并接受设置后,将创建该组。 现在选择组,然后选择组操作“将用户添加到组”:
我们选择刚创建的用户,使其属于该组。 现在,我们已经完成了5个步骤中的4个。 最后一步是关于使用的密码策略。 只需打开页面并选择用户密码应匹配的要求即可:
我只是选择最小长度为10。设置完成后,我们可以在信息中心中看到“安全状态”的所有步骤都变为绿色:
当然,关于与AWS结合使用的安全性还有很多要说的,但这应该给您一个领先的机会。
翻译自: https://www.javacodegeeks.com/2015/06/getting-started-with-aws-iam.html
1797
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
