|
在本文中,我将指导您使用AWS CLI从命令行界面在AWS账户上创建AWS IAM用户和组。AWS Identity and Access Management(IAM)使您能够安全地管理对AWS服务和资源的访问,创建AWS IAM用户的常见方法有两种。 一种方法来自Web控制台,另一种方法是使用AWS CLI对AWS进行API调用。AWS CLI是管理您的AWS服务的统一工具,我们提供了有关如何安装AWS CLI的指南,请参考下面的链接。 在链接中详细介绍了AWS CLI的安装和配置之后,请确认它运行良好: $ aws s3 ls 2020-05-27 22:49:47 ami-image-bucket 2020-04-20 18:27:47 mydemo-bucket 下面这些是我们将在本文中执行的操作: 创建一个IAM组。 将策略附加到组。 创建一个AWS IAM用户。 为用户设置初始密码,并在首次登录时强制更改密码。 将用户添加到IAM组。 为用户提供其他IAM策略,以授予对服务的访问权限。
一、创建一个AWS IAM组 IAM组是IAM用户的集合,通过组,您可以为多个用户指定权限,这样可以更轻松地管理这些用户的权限。 我将创建一个名为DB-Admins的组: $ aws iam create-group --group-name DB-Admins { "Group": { "Path": "/", "GroupName": "DB-Admins", "GroupId": "AGPARX4Y6JA3GYFUH5RA3", "Arn": "arn:aws:iam::120942965047:group/DB-Admins", "CreateDate": "2020-05-28T16:59:03Z" } } 您可以通过列出可用的组来确认创建: $ aws iam list-groups
二、将策略附加到组 您可以选择创建一个新的IAM策略,该策略授予或拒绝对服务的访问,或者使用适合您需要的预定义策略。 我将使用IAM策略列表中已经存在的数据库管理员策略,在附加现有策略之前,您需要您要附加的IAM策略的Amazon资源名称(ARN)。 您可以通过单击策略名称并查看摘要来轻松获取策略的ARN:
复制ARN并将其用于将策略附加到IAM用户组: aws iam attach-group-policy --policy-arn arn:aws:iam::aws:policy/IAMUserChangePassword --group-name DB-Admins aws iam attach-group-policy --policy-arn arn:aws:iam::aws:policy/job-function/DatabaseAdministrator --group-name DB-Admins 通过列出附加到IAM组的所有策略来确认更改: $ aws iam list-attached-group-policies --group-name DB-Admins { "AttachedPolicies": [ { "PolicyName": "DatabaseAdministrator", "PolicyArn": "arn:aws:iam::aws:policy/job-function/DatabaseAdministrator" }, { "PolicyName": "IAMUserChangePassword", "PolicyArn": "arn:aws:iam::aws:policy/IAMUserChangePassword" } ] }
三、创建AWS IAM用户 现在我们有了带有附加策略的IAM组,我们可以创建一个IAM用户: aws iam create-user --user-name Alice --tags '{"Key": "Name", "Value": "Alice Karanja"}' 如果用户需要登录到AWS控制台,请设置密码: aws iam create-login-profile \ --user-name Alice \ --password '3}~L=LMN]KeV3}qZ' \ --password-reset-required 建议设置更为复杂的用户密码。
四、将用户添加到IAM组 让我们将用户添加到组中,以继承添加到组中的权限: aws iam add-user-to-group --user-name Alice --group-name DB-Admins
五、向用户添加其他IAM策略 如果希望用户对资源具有特定的访问权限,则可以将策略直接附加到该用户,该策略可以是预定义的,也可以是您要创建的策略。 语法如下: aws iam attach-user-policy \ --policy-arn <policy-arn> \ --user-name Alice
相关主题 |
