2. 程式人生 > >AWS IAM常見問題_身份認證與訪問控制服務

AWS IAM常見問題_身份認證與訪問控制服務

阿新 發佈:2019-01-14

問:許可權是如何執行的?

將訪問控制策略掛載到使用者、組和角色,以便分配對 AWS 資源的許可權。預設情況下,IAM 使用者、組和角色沒有許可權;擁有充分許可權的使用者必須使用策略授予所需的許可權。

問:如何使用策略分配許可權?

要設定許可權,您可以使用 AWS 管理控制檯、IAM API 或 AWS CLI 建立並掛載策略。已被授予必要許可權的使用者可以建立策略並將其分配給 IAM 使用者、組和角色。

問:什麼是託管策略?

託管策略是使用 IAM 策略語言表達許可權的 IAM 資源。您可以將之與所關聯的 IAM 使用者、組和角色分開建立、修改和管理。您將託管策略關聯到多個 IAM 使用者、組或角色後,可以在一個位置更新該策略並將許可權自動擴充套件到所有關聯的實體。託管策略由您管理(稱為客戶管理的策略)或 AWS 管理(稱為 AWS 託管策略)。更多有關託管策略的資訊,請參見

託管策略與內聯策略

問:如何建立客戶管理策略?

您可以使用v視覺化編輯器或 IAM 控制檯中的 JSON 編輯器。視覺化編輯器是一個點選式編輯器,可全程指導您利用策略授予許可權,使您無需再以 JSON 格式編寫策略。您可以使用 CLI 和軟體開發工具包建立 JSON 策略。

問:如何分配常用許可權?

AWS 提供了一套常用許可權,您可以將它們關聯到您賬戶中的 IAM 使用者、組和角色。這些策略稱為 AWS 託管策略。Amazon S3 的只讀訪問許可權就是一個例子。當 AWS 更新這些策略時,許可權會自動應用到策略關聯的使用者、組和角色。AWS 託管策略自動顯示在 IAM 控制檯的策略

部分。分配許可權時,您可以使用 AWS 託管策略,也可以建立您自己的客戶管理策略。您可根據現有的 AWS 託管策略建立新的策略或定義您自己的策略。

問:基於組的許可權是如何實施的?

您可以使用 IAM 組將同一組許可權指派給多個 IAM 使用者。此外,還可以為使用者分配單獨的許可權。結合使用將許可權掛載到使用者的這兩種方法,以設定整體許可權。

問:使用 IAM 組指派許可權與使用託管策略指派許可權有什麼區別?

您可以使用 IAM 組收集 IAM 使用者併為這些使用者定義常用許可權。您可以使用託管策略在 IAM 使用者、組和角色之間共享許可權。例如,如果您希望一組使用者能夠啟動一個 Amazon EC2 例項,並且還希望該例項上的角色與組中的使用者擁有相同的許可權,則可以建立一個託管策略並將它指派給上述使用者組和 Amazon EC2 例項上的角色。

問:如何將 IAM 策略連同 Amazon S3、Amazon SQS、Amazon SNS, 和 AWS KMS 基於資源的策略一起評估?

IAM 策略是與服務的基於資源的策略一起評估的。當任何策略型別授予了訪問許可權(沒有直接拒絕)時,則此操作是被允許的。更多有關策略評估邏輯的資訊,請參見 IAM 策略評估邏輯。 

問:我能否將託管策略用作基於資源的策略?

託管策略只能掛載到 IAM 使用者、組或角色。您不可以將其用作基於資源的策略。

問:我如何使用策略設定精細許可權?

使用策略,您可以指定若干許可權粒度層級。首先,您可以定義想要允許或明確拒絕訪問的特定 AWS 服務操作。其次,根據具體操作,您可以定義可對其執行這些操作的特定 AWS 資源。第三,您可以定義指定策略何時生效的條件(例如,是否啟用了 MFA)。

問:如何輕鬆地移除不必要的許可權?

為了幫助您確定所需的許可權,IAM 控制檯現在可顯示服務上次訪問資料,以顯示 IAM 實體(使用者、組或角色)上次訪問某項 AWS 服務的時間。瞭解 IAM 實體上次使用許可權的方式和時間可幫助您刪除不必要的許可權並輕鬆加強 IAM 策略。

問:我是否可以授予許可權以訪問或更改賬戶級資訊(例如,付款方式、聯絡電子郵件地址和賬單歷史記錄)?

可以,您可以向 IAM 使用者或聯合身份使用者授予檢視 AWS 賬單資料和修改 AWS 賬戶資訊的許可權。有關如何控制賬單資訊的訪問許可權的更多資訊,請參閱控制訪問

問:誰可以在 AWS 賬戶中建立並管理訪問金鑰?

只有 AWS 賬戶的擁有者可以管理根賬戶的訪問金鑰。賬戶擁有者和已被授予必要許可權的 IAM 使用者與角色可以管理 IAM 使用者的訪問金鑰。

問:我是否可以授予許可權以訪問歸其他 AWS 賬戶所有的 AWS 資源?
可以。通過使用 IAM 角色,IAM 使用者和關聯使用者可以通過 AWS 管理控制檯、AWS CLI 或 API 訪問其他 AWS 賬戶中的資源。請參閱管理 IAM 角色,瞭解更多資訊。

問:策略是什麼樣的?

以下策略授予訪問許可權以便在特定儲存桶 example_bucket 中的特定資料夾 example_folder 中新增、更新和刪除物件。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

問:什麼是策略摘要?

如果您在使用 IAM 控制檯並選擇了一項策略,您就會看到策略摘要。策略摘要中列出了策略中定義的每項服務的訪問級別、資源和條件(參見以下螢幕截圖中的示例)。訪問級別(檢視、讀取、寫入或許可權管理)根據策略中針對每項服務授予的操作來確定。您可以選擇 JSON 按鈕,以 JSON 格式檢視策略。

相關推薦

AWS IAM常見問題_身份認證訪問控制服務

問:許可權是如何執行的? 將訪問控制策略掛載到使用者、組和角色,以便分配對 AWS 資源的許可權。預設情況下,IAM 使用者、組和角色沒有許可權;擁有充分許可權的使用者必須使用策略授予所需的許可權。 問:如何使

AWS IAM產品詳情_身份認證訪問控制服務

Amazon Web Services 誠聘精英。 Amazon Web Services (AWS) 是 Amazon.com 的一個充滿活力、不斷壯大的業務部門。我們現誠聘軟體開發工程師、產品經理、客戶經理、解決方案架構師、支援工程師、系統工程師以及設計師等人才。請訪問我

詳解K8SRancher 2.0內的身份認證授權

Rancher Kubernetes 身份認證和授權 Rancher 2.0正式版已全面發布。Rancher 2.0是一個開源的Kubernetes管理平臺,為企業用戶提供Kubernetes-as-a-Service (Kubernetes即服務),並且能夠實現多Kubernetes集群的統一納

身份認證加密淺談

問題 密文 加密算 加密 pre user 解密 用戶 pass 背景:現有A用戶和B用戶之間想加密傳輸一些秘密文件,通過什麽樣的技術可以確保A和B傳輸數據的私密性?方案:采用對稱秘鑰對數據進行加密傳輸算法:AES、3DES、DES等工作原理:A用戶選擇一種對稱加密算法並與

基於Token的身份認證 基於服務器的身份認證

校驗 註意 共享 con ESS 壓力 not 先來 怎麽 基於Token的身份認證 與 基於服務器的身份認證 基於服務器的身份認證 在討論基於Token的身份認證是如何工作的以及它的好處之前,我們先來看一下以前我們是怎麽做的: HTTP協議是無狀態的,也就是說,

Angular SPA基於Ocelot API閘道器IdentityServer4的身份認證授權(四)

在上一講中,我們已經完成了一個完整的案例,在這個案例中,我們可以通過Angular單頁面應用(SPA)進行登入,然後通過後端的Ocelot API閘道器整合IdentityServer4完成身份認證。在本講中,我們會討論在當前這種架構的應用程式中,如何完成使用者授權。 回顧 《Angular SPA基於Oc

LAMP-防盜鏈訪問控制

lamp一、防盜鏈 有時候,網站的流量會異常龐大。經過觀察,會發現一些靜態的圖片等元素被盜用了。使用防盜鏈,可以防止元素被外鏈。通過限制referer能實現防盜鏈的功能。1)配置虛擬主機[[email protected]/* */ ~]# vi /usr/local/apache2.4/c

pytho類繼承訪問控制

() 語句塊 logs 順序 ccf 多繼承 自己 -s 私有屬性 類的三要素之一,繼承 從父類繼承,就可以直接擁有了父類的方法和屬性,減少冗余,增加復用,同時子類也可以定義自己的屬性和方法 繼承:class ****(需要繼承的類) 這樣就可以讓其子類獲得父類的方法與

Linux文件權限訪問控制

Linux學習Linux文件權限與訪問控制 訪問文件用戶3類: 文件所有者 同組成員 其他人 權限--- --- --- (rwx) 依次對應3類用戶 file:6rw 4r 0 x1 dir: 7rwx 5r-x 0 默認權限 umask內部命令 用來生成數字 umask+defau

CentOS7.4—nginx應用之統計訪問控制

centos7最新版本nginx功能應用 nginx功能之統計與訪問控制 Nginx功能應用—統計與驗證目錄:第一部分:準備工作第二部分:搭建nginx第三部分:配置nginx的統計功能第四部分:配置nginx的驗證功能(訪問控制) 第一部分 實驗環境一:服務器:Linux系統—CentOS 7.4

編寫自己的登入訪問控制模組

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Docker registry ssl認證訪問控制

一:實驗環境以及需求 實驗環境:兩臺cnetos7.2版本虛擬機器。(資源允許最好準備三臺,一臺做私有倉庫,一臺做上傳映象伺服器,一臺做下載映象伺服器) 虛擬機器1:192.168.1.200  虛擬機器2:192.168.1.201 伺服器防火牆和selinux關閉。hosts根據實際情況做解析,每

MongoDB學習筆記(六)——MongoDB配置使用者賬號訪問控制

前面的幾篇博文,大概介紹瞭如何安裝MongoDB,以及介紹了MongoDB shell與MongoDB Compass。 新安裝的MongoDB是沒有賬號設定的,也就是說任何人都可以連線進MongoDB,這是非常不安全的。所以我們需要對MongoDB進行設定賬

初探下一代網路隔離訪問控制

概述 安全域隔離是企業安全裡最常見而且最基礎的話題之一,目前主要的實現方式是網路隔離(特別重要的也會在物理上實現隔離)。對於很小的公司而言,雲上開個VPC就實現了辦公網和生產網的基礎隔離,但對於有自建的IDC、網路基礎設施甚至自己構建雲基礎設施的大型公司而言,網路隔離是一項基礎而複雜的安全建設。基礎在這裡的意

AWS CodeCommit程式碼託管_完全託管型原始碼控制服務

AWS CodeCommit 會在傳輸過程中和空閒時自動加密您的檔案。CodeCommit 可與 AWS Identity and Access Management (IAM) 整合,讓您可以自定義特定使用者對儲存庫的訪問許可權。

AWS CloudFormation價格_雲資源配置和更新服務

AWS CloudFormation 不收取任何額外費用。您為通過 AWS CloudFormation 建立的 AWS 資源(如 Amazon EC2 例項、Elastic Load Balancing 負載均衡器等)付費時,其方式與您手動建立這些資源時的方式一樣。您只

AWS CodePipeline價格_亞馬遜持續交付服務

AWS CodePipeline 無需預付費用或使用承諾。您僅需按實際用量付費。AWS CodePipeline 的每月每個活動管道*的費用是 1 USD。為了鼓勵使用者體驗,管道在建立後前 30 天免費。 * 活動管道是指已存在超過 30 天,並且在一個月內至少發生過一次

MySQL使用者授權訪問控制

這本來是一篇講述怎麼在Linux上完成MySQL的安裝、新建使用者並授權的博文,後來查閱了不少資料,看到一篇有意思的文章,思緒就開始氾濫了。 mysql> FLUSH PRIVILEGES; 也許你看到大多數講解MySQL授權的文章最後都讓你使用上

開源認證訪問控制的利器keycloak使用簡介

[toc] # 簡介 keycloak是一個開源的進行身份認證和訪問控制的軟體。是由Red Hat基金會開發的,我們可以使用keycloak方便的嚮應用程式和安全服務新增身份認證,非常的方便。 keycloak還支援一些高階的特性,比如身份代理,社交登入等等。 本文將會帶領大家進入keycloak的神

AWS Identity and Access Management(IAM)_雲中的訪問許可權管理

Amazon Web Services 誠聘精英。 Amazon Web Services (AWS) 是 Amazon.com 的一個充滿活力、不斷壯大的業務部門。我們現誠聘軟體開發工程師、產品經理、客戶經理、解決方案架構師、支援工程師、系統工程師以及設計師等人才。請訪