AWS IAM角色的应用

最新推荐文章于 2024-03-28 18:43:32 发布
最新推荐文章于 2024-03-28 18:43:32 发布
阅读量734 收藏
点赞数
文章标签: aws
原文链接:https://www.gzhou.cn/thread-115622-1-1.html
版权

 

前言AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。 
AWS上有IAM的概念,IAM角色可以更加精准的控制权限,方便扩展。 
一、EC2针对 EC2 上面的应用程序,不要分配 User Credentials,使用 IAM Role Attachment。 
可以访问 EC2 的 meatdata 查看赋予的 Role 权限 
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/二、Software on local laptop针对在自己电脑上面开发测试的用户,用户需要 S3 的访问权限,不给用户分配权限,这样可以避免 AK/SK 丢失造成的损失,我们可以给 User 分配一个 Cross accunt role,让用户使用接口 assume-role 获取临时的 AK/SK,然后去访问AWS 资源。 
2.1、创建用户 alice不给用户分配任何权限。 

最后得到用户的 AK/SK 
Access key ID :AKIA5NAGHF6N2WFTQZP6Secret access key:TqJ/9Hg450x204r1lai+C3w0+3kvVOeTckPZhvau2.2、创建一个跨账户 Role(同账户下) 
给角色增加权限。 


生成的 Role ARN:arn:aws:iam::921283538843:role/alice-sts把生成的 Role 的 trust relationships policy 修改为如下,试 alice 这个用户可以 assumerole 这个角色, 
{ "Version": "2012-10-17", "Statement": [  {   "Effect": "Allow",   "Principal": {    "AWS": "arn:aws:iam::921283538843:user/alice"   },   "Action": "sts:AssumeRole",   "Condition": {}  } ]}2.3、测试用户权限直接使用 AK/SK,查看用户是否有相应的权限。 
使用 aws configure 配置。 
wangzan:~/.aws $ aws configure --profile aliceAWS Access Key ID [****************H6YU]: AKIA5NAGHF6N2WFTQZP6AWS Secret Access Key [****************bVA/]: TqJ/9Hg450x204r1lai+C3w0+3kvVOeTckPZhvauDefault region name [us-east-1]: Default output format [json]: wangzan:~/.aws $ aws sts get-caller-identity --profile alice{  "Account": "921283538843",   "UserId": "AIDA5NAGHF6NZASTSA7Y6",   "Arn": "arn:aws:iam::921283538843:user/alice"}wangzan:~/.aws $ aws s3 ls --profile aliceAn error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied直接使用是获取不到权限的,那我们使用 assume-role。 
wangzan:~ $ aws sts assume-role --role-arn arn:aws:iam::921283538843:role/alice-sts --role-session-name alice1233 --profile alice                                                         {  "AssumedRoleUser": {    "AssumedRoleId": "AROA5NAGHF6N7DOEADJSU:alice1233",     "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/alice1233"  },   "Credentials": {    "SecretAccessKey": "bmP9j6fuZ03MgrQCzrix6YLRcHzLojrThII6I5k7",     "SessionToken": "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",     "Expiration": "2019-12-31T09:06:12Z",     "AccessKeyId": "ASIA5NAGHF6NZZ5HBX7R"  }}然后去编辑 ~/.aws/credentials,把生成的Credentials放到里面,如下: 
[alice-sts]aws_access_key_id = ASIA5NAGHF6NZZ5HBX7Raws_secret_access_key = bmP9j6fuZ03MgrQCzrix6YLRcHzLojrThII6I5k7aws_session_token = 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然后再去请求 S3。 
wangzan:~/.aws $ aws sts get-caller-identity --profile alice-sts{  "Account": "921283538843",   "UserId": "AROA5NAGHF6N7DOEADJSU:alice1233",   "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/alice1233"} 
2.4、自动更换临时权限修改 ~/.aws/credentials,增加如下字段, 
[alice-auto]role_arn = arn:aws:iam::921283538843:role/alice-stssource_profile = alice可以看下目前的 Role。 
wangzan:~ $ aws sts get-caller-identity --profile alice-auto{  "Account": "921283538843",   "UserId": "AROA5NAGHF6N7DOEADJSU:botocore-session-1577780458",   "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/botocore-session-1577780458"} 

 iplc专线网络,是可以在香港与其他地区(包括中国大陆、新加坡、菲律宾、日本、韩国)之间构建物理专线,将香港数据中心与其他地区的数据中心、云、企业分支、办公室或主机托管环境对接起来,实现高速私网通信。这种私网通信可以绕过公网,两端通信低至 5ms,最终形成一种比基于 Internet 连接更为私密、稳定、高速的网络体验。

Cloud Service_YI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
aws iam入门之简介
蛐蛐的博客
01-16 1759
文档:What is IAM? - AWS Identity and Access Management 1.简介 AWS IAM 是一项 Web 服务,帮助安全地控制对 AWS 资源的访问。 使用 IAM 来控制谁经过身份验证(登录)和授权(拥有权限)使用资源。 首次创建 AWS 账户时,需要一个单一登录身份,该身份访问账户中的所有 AWS 服务和资源。 此身份称为 AWS 账户根用户,可通过电子邮件地址和密码登录来访问。 建议不要将 root 用户用于日常任务,即使是管理任务。
AWS IAM入门
danpu0978的博客
04-23 268
最近, AWS宣布,自今年6月30日起,必须将IAM角色及其EMR服务一起使用。 在本文中,我将向您展示从AWS开始时如何设置IAM基础。 从头开始使用新的AWS帐户时,您将看到以下管理控制台。 选择选项身份和访问管理,以便我们开始创建用户,角色等: 我要做的第一件事是通过更改登录链接来创建友好的登录URL: 我做这样的事情: 现在,我设置的用户可以使用此链接登录到...
AWS创建IAM用户,以及通过IAM用户登录
weighless的博客
03-28 630
更侧重于简化用户跨多个AWS账户和应用程序的访问管理,提供单一登录(SSO)体验,适合需要集中身份管理和简化用户登录过程的组织。IAM则更专注于提供针对单个AWS账户内资源的访问控制,包括用户、角色、权限策略等的管理,适合需要对AWS资源进行精细访问控制的场景。也就是IAM Identity Center是可以通过我自己的账户登录,然后访问主账户的资源,而IAM是主账户给的账户密码登录根据我们的实际情况,选择IAM比较方便。
aws iam php,AWS实战 - IAM角色的简单使用
weixin_33670640的博客
03-12 274
介绍简单来说,IAM角色是一组权限的集合,IAM用户或者AWS服务可以临时性代入这个角色,获得角色所拥有的权限;AWS官方定义如下:IAM角色类似于用户,因为它是一个AWS实体,该实体具有确定其在AWS中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(密码或访问密钥)。相反,如果用户担任某个角色,则会动态创建临时安...
AWS - IAM
MarvinChen003的专栏
07-13 561
All roles are global.
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 3978
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
iam-docker-run:在AWS IAM角色和其他开发工作流程帮助程序的上下文中运行Docker容器
05-28
目标是当应用程序在ECS或EKS中运行时,在尽可能与生产环境类似的环境中在开发中的笔记本电脑上运行我们的应用程序,这些应用程序将在具有特定于该任务的权限的任务IAM角色下运行。 开发人员有时采取的一种捷径是与...
terraform-aws-iam-role:使用预定义的主体创建IAM角色
02-13
用途:在AWS中提供IAM角色。 基本原理:将标准和约束应用IAM角色。 要求 没有要求。 提供者 姓名 版本 ws 不适用 输入项 姓名 描述 类型 默认 必需的 描述 IAM角色说明 any 不适用 是的 inline_policies 要...
red-shadow:Lightspin AWS IAM漏洞扫描程序
04-01
用于拒绝应用于组的策略的AWS IAM评估逻辑的工作方式不同于大多数安全工程师可能习惯于使用其他授权机制的方式。 假设具有组资源的策略具有明确的拒绝。 在这种情况下,这只会影响组操作,而不会影响用户操作,例如...
AWS云上安全最佳实践.pdf
最新发布
04-01
定期审计和清理不需要的 IAM 用户和角色 数据保护 对静态敏感数据实施加密 对传输中的数据实施 TLS 加密 使用 AWS 密钥管理服务(KMS)集中管理加密密钥 启用 AWS CloudTrail 记录 API 调用和事件 网络安全 使用 VPC...
serverless-permission-generator:一个在线应用程序,用于生成部署无服务器框架堆栈所需的AWS IAM权限
05-28
无服务器权限策略生成器 一个在线应用程序,用于生成部署无服务器框架堆栈所需的AWS IAM权限。...将值粘贴到您的IAM角色权限策略中 开发指南 先决条件 吉特 npm 克隆应用程序并使用安装依赖项 npm install 跑步
AWS创建Pod 执行角色
云深海阔专栏
10-27 363
将 region-code 替换为您的集群所在的 AWS 区域。如果您希望在您的账户中在所有 AWS 区域使用相同角色,则将 region-code 替换为 *。请将 111122223333 替换为账户 ID,并将 my-cluster 替换为您的集群名称。如果您希望在账户中对所有集群使用相同角色,请将 my-cluster 替换为 *。选择刚刚创建的角色,编辑信任关系,默认的配置信息如下。再滑到最后点击创建角色,会出现创建成功的提示。1、在IAM页面选择创建角色,然后在。最后就看到了刚刚创建的角色
AWS IAM基本概念
Blue summer的博客
05-20 3294
IAM Identity and Access Management,身份和访问管理 identity/principal user、role、federated User、application
浅谈AWS安全服务之IAM
qq_22492039的博客
07-24 449
浅谈AWS安全服务之IAM 随着AWS(目前应该叫亚马逊云,哈哈)在中国区开始做生意以来,陆陆续续上线了很多云安全方面的服务,但大多数都是卖相不错,好不好用真是仁者见仁之智者见智了。 今天就瞎聊下AWS所有服务的基础-IAM,没有实际案例哈,都是瞎聊。 这个东西官方介绍,可以看下面: https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html 简而言之,IAM就干两个活,认证跟授权。 认证就是怎么证明你是你。 其实实现方法还是老三样:用户
AWS攻略——一文看懂AWS IAM设计和使用
方亮的专栏
09-14 3469
IAM Github CodeCommit Role User Policy
aws iam 架构图_使用IAM保护您的AWS基础架构
最佳 Java 编程
06-14 1110
aws iam 架构图 在开发新产品并发现合适的产品市场时,每个团队都需要快速行动。 尤其是初创公司,因为公司的整个未来都取决于快速找到为您的产品付款的人。 对于初创企业和其他团队来说, Amazon Web Services是令人难以置信的工具,可以快速构建其应用程序和基础架构。 这些团队通常具有比适当的系统操作更强大的开发背景。 AWS提供了出色的工具来处理密钥,身份验证和安全性,...
aws iam入门之Identities (users, user groups, and roles)
蛐蛐的博客
01-23 455
文档:IAM Identities (users, user groups, and roles) - AWS Identity and Access Management 1.简介 AWS 账户根用户或账户的 IAM 管理员可以创建IAM 身份。IAM 身份提供对 AWS 账户的访问。 用户组是作为一个单元管理的 IAM 用户的集合。 IAM 身份代表用户,可以进行身份​​验证,然后授权在 AWS 中执行操作。 每个 IAM 身份都可以与一个或多个策略相关联。 策略确定用户、角色或用户
AWS入门】IAM基本应用-2023/3/4
weixin_42161670的博客
03-11 616
IAM(Identity Access Management)是身份和访问管理服务,要访问AWS服务和资源,就要使用IAM进行身份验证和授权。当我们通过控制台,CLI,或API访问AWS服务时,都需要通过IAM服务进行身份验证。所有的委托人都必须进行身份验证才能发送请求,执行操作(少数例外)。那什么是委托人呢?委托人是对AWS资源和服务执行动作或操作的用户,或者是应用程序的代称。AWS用户,角色,联合身份用户,应用,这些都可以是委托人。
aws IAM - group,user role, policy 实验
shenghuiping2001的专栏
01-04 570
针对很多应用部门对权限有不同的要求,所以aws 提供了很好的控制权限的方法,就是把权限赋予group, 然后在这个group 下面建user, 下面进行实验: 先创建了一个group: s3-support 然后给这个组 s3 full access 的权限: 创建好后,如下图: OK, 下面创建user: s3-read-user: 然后用这个账号登入: 登入进去,看到右上角: 然后进入s3:发现没有权限: OK, 还是推出,然后高权限账号进去,把这..
AWS IAM 的JWT认证
08-26
AWS IAM(Identity and Access Management)是一种用于管理用户身份验证和访问权限的服务它并不直接支持JWT(JSON Web Token)认证,但可以与其他服务和机制结合使用以实现JWT认证。 一种常见的方法是使用AWS Cognito服务。Cognito是一种用户身份验证和授权解决方案,它支持JWT认证。您可以使用Cognito设置用户池,并在用户池中配置JWT令牌作为身份验证方法。然后,您可以使用AWS SDK或自定义代码从Cognito获取JWT令牌,并将其用于对AWS资源进行身份验证和访问控制。 另一个选项是使用AWS API Gateway。API Gateway是一种用于构建、部署和管理API的服务。它支持自定义授权和验证机制,包括JWT认证。您可以在API Gateway中配置JWT作为授权方式,并将其与其他AWS服务(如Lambda函数或EC2实例)集成,以实现基于JWT的身份验证和访问控制。 需要注意的是,AWS IAM本身没有直接支持JWT认证的功能,但您可以通过结合其他AWS服务来实现JWT认证。具体的实现细节取决于您的应用程序需求和架构设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值