前言

AWS Identity and Access Management (IAM) 是一種 Web 服務(wù)，可以幫助您安全地控制對(duì) AWS 資源的訪問。您可以使用 IAM 控制對(duì)哪個(gè)用戶進(jìn)行身份驗(yàn)證 (登錄) 和授權(quán) (具有權(quán)限) 以使用資源。

目前創(chuàng)新互聯(lián)已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、阿勒泰網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

AWS上有IAM的概念，IAM角色可以更加精準(zhǔn)的控制權(quán)限，方便擴(kuò)展。

一、EC2

針對(duì) EC2 上面的應(yīng)用程序，不要分配 User Credentials，使用 IAM Role Attachment。
可以訪問 EC2 的 meatdata 查看賦予的 Role 權(quán)限

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

二、Software on local laptop

針對(duì)在自己電腦上面開發(fā)測(cè)試的用戶，用戶需要 S3 的訪問權(quán)限，不給用戶分配權(quán)限，這樣可以避免 AK/SK 丟失造成的損失，我們可以給 User 分配一個(gè) Cross accunt role，讓用戶使用接口 assume-role 獲取臨時(shí)的 AK/SK，然后去訪問AWS 資源。

2.1、創(chuàng)建用戶 alice

不給用戶分配任何權(quán)限。

最后得到用戶的 AK/SK

Access key ID ：AKIA5NAGHF6N2WFTQZP6
Secret access key：TqJ/9Hg450x204r1lai+C3w0+3kvVOeTckPZhvau

2.2、創(chuàng)建一個(gè)跨賬戶 Role（同賬戶下）

給角色增加權(quán)限。

生成的 Role ARN：arn:aws:iam::921283538843:role/alice-sts

把生成的 Role 的 trust relationships policy 修改為如下，試 alice 這個(gè)用戶可以 assumerole 這個(gè)角色，

{
  "Version": "2012-10-17",
  "Statement": [
   {
    "Effect": "Allow",
    "Principal": {
     "AWS": "arn:aws:iam::921283538843:user/alice"
    },
    "Action": "sts:AssumeRole",
    "Condition": {}
   }
  ]
}

2.3、測(cè)試用戶權(quán)限

直接使用 AK/SK，查看用戶是否有相應(yīng)的權(quán)限。
使用 aws configure 配置。

wangzan:~/.aws $ aws configure --profile alice
AWS Access Key ID [****************H6YU]: AKIA5NAGHF6N2WFTQZP6
AWS Secret Access Key [****************bVA/]: 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
Default region name [us-east-1]: 
Default output format [json]: 
wangzan:~/.aws $ aws sts get-caller-identity --profile alice
{
   "Account": "921283538843", 
   "UserId": "AIDA5NAGHF6NZASTSA7Y6", 
   "Arn": "arn:aws:iam::921283538843:user/alice"
}
wangzan:~/.aws $ aws s3 ls --profile alice
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

直接使用是獲取不到權(quán)限的，那我們使用 assume-role。

wangzan:~ $ aws sts assume-role --role-arn arn:aws:iam::921283538843:role/alice-sts --role-session-name alice1233 --profile alice                                                          
{
   "AssumedRoleUser": {
     "AssumedRoleId": "AROA5NAGHF6N7DOEADJSU:alice1233", 
     "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/alice1233"
   }, 
   "Credentials": {
     "SecretAccessKey": "bmP9j6fuZ03MgrQCzrix6YLRcHzLojrThII6I5k7", 
     "SessionToken": "IQoJb3JpZ2luX2VjEIH//////////wEaCXVzLWVhc3QtMSJHMEUCICUEnSV87qoGrBDliGHwPTc0EPSqbzjLMX/8F2QUmejdAiEAxfX3L+MipZOTGKYLxH2qeTlnkvNtY3laE1hlEmcgaEMq2QEI6f//////////ARAAGgw5MjEyODM1Mzg4NDMiDIz9v0YIqXkeT4/YjSqtAc4g0fFXYua7fvzVveDq9twCc0jtHoz+k8425aL2qcpOTyGxDyWEIpt5Qp3DlZkCEMOgz8VPw/VhXQOuvTBF2nfEPDVsjk0J1rL/xP/8VDe1/Op13qu7QGtvOog00/0qAr2GTsSOkrQnHcOfcXpirz+Ll+rlVEp5WGjke4NTQjYlcKuGud2totcdWuvd39o6RugOOuTEf/UanuPmgvwlNVG6qfSZK6MAl0yJ2NNgMPSCrPAFOuMBw/R25StiLs+ZoGj7nhmL17I7ggW33DdH12FwXwqrOb3nBJxXFyaS3N7U/VJRCWPYQ95RuatJRWiBOvWoBB1KI5tdb0xKStW0VCRUpB2iipJcVFFikJyphf/HzK03AHQ4N4DiPFz30RlFyZVXyV4E/O9CqzKtp09MD+Chuq298Yjq4NDk1Wi5s75JpfuVvtU7FUGb3Li2OfE68GHBybfKR3Gvg1oDJy1QZGqLrUCJp/oZ8Wjg9xOg/2Vg3PUjlgCnlE+rrkZVuF+aAJfB1mVrMBF8XFGtfZQF9QMgzugrJAbZ4Uk=", 
     "Expiration": "2019-12-31T09:06:12Z", 
     "AccessKeyId": "ASIA5NAGHF6NZZ5HBX7R"
   }
}

然后去編輯 ~/.aws/credentials，把生成的Credentials放到里面，如下：

[alice-sts]
aws_access_key_id = ASIA5NAGHF6NZZ5HBX7R
aws_secret_access_key = bmP9j6fuZ03MgrQCzrix6YLRcHzLojrThII6I5k7
aws_session_token = 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

然后再去請(qǐng)求 S3。

wangzan:~/.aws $ aws sts get-caller-identity --profile alice-sts
{
   "Account": "921283538843", 
   "UserId": "AROA5NAGHF6N7DOEADJSU:alice1233", 
   "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/alice1233"
}

2.4、自動(dòng)更換臨時(shí)權(quán)限

修改 ~/.aws/credentials，增加如下字段，

[alice-auto]
role_arn = arn:aws:iam::921283538843:role/alice-sts
source_profile = alice

可以看下目前的 Role。

wangzan:~ $ aws sts get-caller-identity --profile alice-auto
{
   "Account": "921283538843", 
   "UserId": "AROA5NAGHF6N7DOEADJSU:botocore-session-1577780458", 
   "Arn": "arn:aws:sts::921283538843:assumed-role/alice-sts/botocore-session-1577780458"
}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

新聞標(biāo)題：AWSIAM角色的應(yīng)用-創(chuàng)新互聯(lián)
文章源于：http://www.rwnh.cn/article16/cssdgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、手機(jī)網(wǎng)站建設(shè)、建站公司、ChatGPT、網(wǎng)站排名、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)