aws(学习笔记第四课) AWS的IAM服务,用于授权的策略,用户和组以及角色

于 2024-10-08 23:22:08 发布
阅读量332 收藏 17
点赞数
分类专栏: aws 文章标签: aws 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sealaugh1980/article/details/142748335
版权

aws(学习笔记第四课)

  • AWSIAM服务,用于授权的策略,用户和组以及角色

学习内容:

  • AWSIAM服务
  • 用于AWS授权的策略
  • 用于认证AWS的用户和组
  • 用于认证AWS的角色

1. AWSIAM服务

  1. IAM用户,角色的区别
    • IAM用户服务
      Identity and Access ManagementAWS是作为整个认证和访问的服务。在这里插入图片描述
    • root用户,IAM用户和IAM角色的关系
      root用户IAM用户IAM角色
      可以有一个密码总是
      可以有一个访问密钥是(不推荐)
      可以属于一个组
      可以与一个EC2实例关联

2. 用于AWS授权的策略

  • 策略如下定义在这里插入图片描述
  • 策略类型
    • 托管策略
      AWS托管策略 – AWS维护的策略。属于提前在AWS上已经存在的策略,可以供大家使用。
      客户托管策略 – 可以是你的组织中的角色策略。
    • 内联策略
      属于某个用户,组或者角色的策略。内联策略不能游离于用户,组或者角色之外,必须隶属其中之一。

3. 用于认证AWS的用户和组

  • 使用awscli很容易定义组和用户
    aws iam create-group --group-name "admin"
aws iam attach-group-policy --group-name "admin" \
--policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"
aws iam create-user --user-name "myuser"
aws iam add-user-to-group --group-name "admin" --user-name "myuser"
aws iam create-login-profile --user-name "myuser" --password "Finlay1234567890$"
    执行效果如下:在这里插入图片描述

4.用于认证AWS的角色

  1. 实现一个EC2自己停止自己
    需要赋予权限给一个EC2实例,让他自己能够在启动5分钟之后停止自己。
  2. CloudFormation的代码实现
    • 实现代码
      {
	"AWSTemplateFormatVersion": "2010-09-09",
	"Description": "AWS in Action: chapter 6 (IAM role)",
	"Parameters": {
		"KeyName": {
			"Description": "Key Pair name",
			"Type": "AWS::EC2::KeyPair::KeyName",
			"Default": "my-cli-key"
		},
		"VPC": {
			"Description": "Just select the one and only default VPC",
			"Type": "AWS::EC2::VPC::Id"
		},
		"Subnet": {
			"Description": "Just select one of the available subnets",
			"Type": "AWS::EC2::Subnet::Id"
		},
		"Lifetime": {
			"Description": "Lifetime in minutes (2-59)",
			"Type": "Number",
			"Default": "2",
			"MinValue": "2",
			"MaxValue": "59"
		}
	},
	"Mappings": {
		"EC2RegionMap": {
			"ap-northeast-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-cbf90ecb"},
			"ap-southeast-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-68d8e93a"},
			"ap-southeast-2": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-fd9cecc7"},
			"eu-central-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-a8221fb5"},
			"eu-west-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-a10897d6"},
			"sa-east-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-b52890a8"},
			"us-east-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-1ecae776"},
			"us-west-1": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-d114f295"},
			"us-west-2": {"AmazonLinuxAMIHVMEBSBacked64bit": "ami-e7527ed7"}
		}
	},
	"Resources": {
		"SecurityGroup": {
			"Type": "AWS::EC2::SecurityGroup",
			"Properties": {
				"GroupDescription": "My security group",
				"VpcId": {"Ref": "VPC"},
				"SecurityGroupIngress": [{
					"CidrIp": "0.0.0.0/0",
					"FromPort": 22,
					"IpProtocol": "tcp",
					"ToPort": 22
				}]
			}
		},
		"InstanceProfile": {
			"Type": "AWS::IAM::InstanceProfile",
			"Properties": {
				"Path": "/",
				"Roles": [{"Ref": "Role"}]
			}
		},
		"Role": {
			"Type": "AWS::IAM::Role",
			"Properties": {
				"AssumeRolePolicyDocument": {
					"Version": "2012-10-17",
					"Statement": [{
						"Effect": "Allow",
						"Principal": {
							"Service": ["ec2.amazonaws.com"]
						},
						"Action": ["sts:AssumeRole"]
					}]
				},
				"Path": "/",
				"Policies": [{
					"PolicyName": "ec2",
					"PolicyDocument": {
						"Version": "2012-10-17",
						"Statement": [{
							"Sid": "Stmt1425388787000",
							"Effect": "Allow",
							"Action": ["ec2:StopInstances"],
							"Resource": ["*"],
							"Condition": {
								"StringEquals": {"ec2:ResourceTag/aws:cloudformation:stack-id": {"Ref": "AWS::StackId"}}
							}
						}]
					}
				}]
			}
		},
		"Server": {
			"Type": "AWS::EC2::Instance",
			"Properties": {
				"IamInstanceProfile": {"Ref": "InstanceProfile"},
				"ImageId": {"Fn::FindInMap": ["EC2RegionMap", {"Ref": "AWS::Region"}, "AmazonLinuxAMIHVMEBSBacked64bit"]},
				"InstanceType": "t2.micro",
				"KeyName": {"Ref": "KeyName"},
				"SecurityGroupIds": [{"Ref": "SecurityGroup"}],
				"SubnetId": {"Ref": "Subnet"},
				"UserData": {"Fn::Base64": {"Fn::Join": ["", [
					"#!/bin/bash -ex\n",
					"INSTANCEID=`curl -s http://169.254.169.254/latest/meta-data/instance-id`\n",
					"echo \"aws --region ", {"Ref": "AWS::Region"}, " ec2 stop-instances --instance-ids $INSTANCEID\" | at now + ", {"Ref": "Lifetime"} ," minutes\n"
				]]}}
			}
		}
	},
	"Outputs": {
		"PublicName": {
			"Value": {"Fn::GetAtt": ["Server", "PublicDnsName"]},
			"Description": "Public name (connect via SSH as user ec2-user)"
		}
	}
}
    • CloudFormation执行结果
      在这里插入图片描述
    • 执行后等待5分钟在这里插入图片描述
    • 最后清理CloudFormation
      CloudFormation属于全攻全守,所以直接删除即可
      在这里插入图片描述
sealaugh32
关注
专栏目录
AWS-CSA-2019-学习笔记:适用于AWS认证解决方案架构师的学习笔记-助理2019
01-30
安全性是AWS架构设计的重要方面,IAM(Identity and Access Management)用于控制用户和资源的访问权限,而CloudTrail则记录了AWS账户的API调用,有助于审计和合规性。此外,S3的生命周期策略、WAF(Web Application...
AWS自学总结.docx
07-03
AWS Identity and Access Management (IAM)服务允许精细的权限控制,确保只有授权用户和应用程序能访问资源。 1.2.3 入侵防范 AWS配置了防火墙和安全规则来防止未授权的访问,同时,服务如Amazon GuardDuty和...
AWS-IAM学习笔记
weixin_42230010的博客
12-08 275
AWS是能管理和控制访问AWS服务和资源的一个Web件,它能定义谁可以访问你的AWS资源,以及它们的访问方式。IAMAWS服务用户不需要为使用IAM而支出任何费用。
aws(学习笔记第一课) AWS CLI,创建ec2 server以及drawio进行aws画图
sealaugh32的专栏
10-05 843
AWS CLI。
AWS-SAA学习笔记-03【S3】
weixin_52574459的博客
09-26 1417
存储与数据库-storage and database**可以是任意类型的数据,例如文本文件、图像、视频、数据库备份等。Amazon S3 还提供了在整个数据生命周期内管理数据的功能。设置 S3 生命周期策略之后,无需更改您的应用程序,您的数据将自动传输到其他存储类。
AWS SAA 学习笔记(6.14)
星宇_大佬养成时的博客
06-14 505
AWS SAA 学习笔记(6.14)
学习笔记IAM
weixin_45909424的博客
04-12 862
学习笔记IAM 什么是IAM IAM是一种身份管理的机制,核心概念有用户用户策略,和角色。 我们每个人通过注册aws账户,从而成为aws账户的用户。但是一个aws账户只能有一个管理员用户,其他人想要登录同一个aws账户只能以IAM用户的方式登录。管理员可以管理IAM用户,赋予他们权限,也可以创建一个用户,同一个用户权限是一样的。 策略就是权限,用户可以编写策略,把策略加入到用户用户,以及角色当中。 角色,是每个用户,实例都可以扮演的,只要扮演了角色,就可以拥有该角色的权限。在创建角色时,
AWS-SAA学习笔记-09【Amazon DynamoDB】
weixin_52574459的博客
09-27 757
Amazon DynamoDB 是一种全托管式 NoSQL 数据库服务,可提供快速且可预测的性能,能够实现无缝扩展。
AWS学习笔记-DB小结
weixin_43394724的博客
09-01 1040
正确选择数据库: 工作负载平衡?还是读量大?写量大? 吞吐量,是无序波动还是可预测? 要存储多少数据,需要多长时间?平均对象大小 数据持久性要求 延迟要求 数据模型 强模式或灵活模式,SQL或NoSQL 许可证费用 Database types which are supported by AWS: Relational Database RDS Postgres MySQL MariaDB Orac
AWS学习笔记-存储小结
weixin_43394724的博客
09-03 2553
EBS Elastic Block Store (EBS) provides persistent block storage volumes for usage with Amazon EC2 instances in the AWS Cloud. EKS使用EC2,AWS提供EBS CSI驱动 for EKS 每个Amazon EBS卷都会自动与其AZ一起复制,以保护您免受件故障的影响,从而提供高可用性和耐用性。 TIPs: EBS就像云中的虚拟硬盘驱动器 它使用网络与实例通信,这意味着可能
AWS学习笔记-EKS创建and升级集群笔记
大鹅的博客
08-24 1537
前置条件 当然你需要先申请一个aws账号(必备:信用卡) 创建集群方式选择 本文章使用的第二种web创建方式 1.eksctl命令行方式创建,首先需要安装aws-cli及eksctl,然后需要配置好账号信息,使用命令创建集群等资源 第一步:aws-cli安装方法 (配置账密信息) 相关配置文件 命令行配置user-config信息 aws configure vim ~/.aws/credentials #静态修改 vim ~/.aws/config #静态修改 第二步:eksctl安装方法
AWS-CLF-C01中文课件,笔记整理.rar
01-23
3. **安全性与合规性**:学习AWS的安全责任共担模型,理解用户AWS在安全中的角色,熟悉AWS提供的安全服务,如IAM、WAF、GuardDuty等,以及如何实现合规性。 4. **计费和成本管理**:理解AWS的计费系统,学习如何...
AWS-Certified-Solutions-Architect:AWS认证解决方案架构师–助理学习笔记
04-15
2. **计算服务**:AWS的核心计算服务包括EC2(Elastic Compute Cloud)用于虚拟服务器,Lambda用于事件驱动的计算,以及ECS(Elastic Container Service)和EKS(Elastic Kubernetes Service)用于容器化应用的管理...
aws-csa-2017:适用于AWS认证解决方案架构师的研究笔记-2017
02-01
AWS Certified Solutions Architect (CSA) 是亚马逊网络服务(Amazon Web Services)提供的一个重要认证,旨在验证专业人士在设计和实施基于AWS云的解决方案方面的技能和知识。2017年的AWS CSA认证针对的是...
AWS Redshift 如何让新的table创建即自动赋予权限
shiran0418的博客
09-30 716
Redshift这样设置的原因是,Redshift底层是与PostgreSQL 8版本兼容的,根据PostgreSQL官网,这个设置本身就是PostgreSQL对于权限的管理,而不是Redshift这个服务对于权限的特定设置。对于schema1后续创建的future table,也不会默认赋予user1 select权限,需要每次创建了新的table以后手动grant权限。这样schematest1里面新创建的table就也默认对user1有select权限了。
如何将数据从 AWS S3 导入到 Elastic Cloud - 第 1 部分:Elastic Serverless Forwarder
最新发布
Elastic 中国社区官方博客
10-07 791
这是多部分博客系列的第一部分,探讨了将数据从 AWS S3 导入 Elastic Cloud 的不同选项。Elasticsearch 提供了多种从 AWS S3 存储桶导入数据的选项,允许客户根据其特定需求和架构策略选择最合适的方法。
解决AWS Organizatiion邀请多个Linker账号数量限额问题
宝耶需努力的技术分享博客
09-30 635
AWS Organizations 是一项账户管理服务,Organizations 是一项物理托管在美国东部(弗吉尼亚北部)区域(us-east-1)的全球服务。使您能够将多个AWS 账户整合到您创建并集中管理的织中。AWS Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。作为织的管理员,您可以在织中创建账户并邀请现有账户加入织。集中管理您的所有 AWS 账户所有成员账户的整合账单对账户进行分层分以满足预算、安全性或合规性需求。
Python知识点:如何使用AWS Greengrass与Python进行边缘计算
bigorsmallorlarge的专栏
10-01 1086
AWS Greengrass 允许你在本地设备上运行 AWS Lambda 函数、同步设备数据、执行机器学习推理,并与其他设备安全通信。:在本地设备上运行,负责管理其他件。Lambda 函数:在 Greengrass Core 上运行的代码,可以响应本地事件。连接器:允许 Greengrass Core 与其他 AWS 服务和本地资源通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值