IAM用户用于将ID和密钥 写入应用程序中。
这里以Amazon Kinesis为例,设置一个具有写入到 Kinesis 视频流 的权限的 AWS Identity and Access Management (IAM) 用户。
-
登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.aws.amazon.com/iam/。
-
在左侧的导航菜单中,选择用户。
-
要创建新的用户,请选择添加用户。
-
为用户提供一个描述性的用户名,例如
kinesis-video-raspberry-pi-producer
。 -
在访问类型下面,选择编程访问。
-
选择下一步:权限。
-
在为 kinesis-video-raspberry-pi-producer 设置权限下面,选择直接附加现有策略。
-
选择 Create policy。将在新的 Web 浏览器选项卡中打开创建策略页。
-
选择 JSON 选项卡。
-
将以下 JSON 策略复制并粘贴到文本区域中。该策略将为您的用户授予创建数据并将其写入到 Kinesis 视频流的权限。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kinesisvideo:DescribeStream", "kinesisvideo:CreateStream", "kinesisvideo:GetDataEndpoint", "kinesisvideo:PutMedia" ], "Resource": [ "*" ] }] }
-
选择查看策略。
-
为策略提供名称,例如
kinesis-video-stream-write-policy
。 -
选择 Create policy。
-
在浏览器中返回到添加用户选项卡,然后选择刷新。
-
在搜索框中,键入创建的策略的名称。
-
在列表中选中新策略旁边的复选框。
-
选择 Next: Review。
-
选择 Create user。
-
控制台将显示新用户的访问密钥 ID。选择显示以显示秘密访问密钥。记录这些值;在配置应用程序时,需要使用这些值。
附:IAM 中的安全最佳实践
https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/best-practices.html#create-iam-users
主题
- 隐藏您的 AWS 账户根用户访问密钥
- 创建单独的 IAM 用户
- 使用组向 IAM 用户分配权限
- 授予最低权限
- 通过 AWS 托管策略开始使用权限
- 使用客户托管策略而不是内联策略
- 使用访问权限级别查看 IAM 权限
- 为您的用户配置强密码策略
- 启用 MFA
- 针对在 Amazon EC2 实例上运行的应用程序使用角色
- 使用角色委托权限
- 不共享访问密钥
- 定期轮换凭证
- 删除不需要的证书
- 使用策略条件来增强安全性
- 监控 AWS 账户中的活动
- 关于 IAM 最佳实践的视频演示