本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置 AWS 凭证 工作人员生命周期的初始阶段是自力更生。在此阶段,工作人员代理软件会在您的车队中创建一个工作人员,并从您的车队的角色中获取 AWS 凭证以进行进一步的操作。 ------ #### [ AWS credentials for Amazon EC2 ] **为具有 Deadline Cloud 工作人员主机权限的 Amazon EC2 创建 IAM 角色** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择导航窗格中的**角色**,然后选择**创建**角色。 1. 选择**AWS 服务**。 1. 选择 **EC2** 作为**服务或用例**,然后选择**下一步**。 1. 要授予必要的权限,请附加`AWSDeadlineCloud-WorkerHost` AWS 托管策略。 ------ #### [ On-premises AWS credentials ] 您的本地员工使用凭据访问 Deadline Cloud。为了获得最安全的访问权限,我们建议使用 IAM Anywhere 角色对工作人员进行身份验证。有关更多信息,请参阅[任何地方的 IAM 角色](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。 为了进行测试,您可以使用 IAM 用户访问密钥作为 AWS 证书。我们建议您通过包含限制性内联策略来为 IAM 用户设置过期时间。 **重要** 请注意以下警告: **请勿**使用您账户的根凭证访问 AWS 资源。这些凭证可提供不受限的账户访问且难以撤销。 **不得**在应用程序文件中按字面输入访问密钥或凭证信息。如果您这样做,则在将项目上传到公共存储库或在其他情况下,会有意外暴露凭证的风险。 **不得**在项目区域中放入包含凭证的文件。 保护您的访问密钥。请不要向未经授权方提供访问密钥,即便是为了帮助[找到您的账户标识符](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html)也不行。通过这样做,您可以授予他人永久访问您的帐户的权限。 请注意,存储在共享凭据文件中的所有 AWS 凭据都以纯文本形式存储。 有关更多详细信息,请参阅[《*AWS 一般参考*》中的管理 AWS 访问密钥的最佳实践。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#securing_access-keys) **创建 IAM 用户** 1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。 1. 在导航窗格中,选择**用户**,然后选择**创建用户**。 1. 为用户命名。清除 “为**用户提供访问权限” 复选框 AWS 管理控制台,**然后选择 “**下一步**”。 1. 选择**直接附加策略**。 1. 从权限策略列表中选择策略,然后选择**下一步**。**AWSDeadlineCloud-WorkerHost** 1. 查看用户详细信息,然后选择**创建用户**。 **将用户访问权限限制在有限的时间段内** 您创建的任何 IAM 用户访问密钥都属于长期凭证。为了确保这些凭证在处理不当的情况下会过期,您可以创建内联策略来指定密钥失效的日期,从而限制这些凭证的使用时间。 1. 打开刚创建的 IAM 用户。在 “****权限” 选项卡中,选择 “**添加权限**”,然后选择 “**创建内联策略**”。 1. 在 JSON 编辑器中,指定以下权限。要使用此策略,请将示例策略中的`aws:CurrentTime`时间戳值替换为您自己的时间和日期。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2024-01-01T00:00:00Z" } } } ] } ``` ------ **创建访问密钥** 1. 在用户详细信息页面上,选择**安全凭证**选项卡。在**访问密钥**部分,选择**创建访问密钥**。 1. 指明您要将密钥用于 “其他”,然后选择 “**下一步**”,然后选择 “**创建访问密钥**”。 1. 在 “**检索访问密钥**” 页面上,选择 “**显示” 以显示**用户的私有访问密钥的值。您可以复制凭证或下载 .csv 文件。 **存储用户访问密钥** + 将用户访问密钥存储在工作主机系统的代理用户 AWS 凭证文件中: + 开启Linux,文件位于 `~/.aws/credentials` + 开启Windows,文件位于 `%USERPROFILE\.aws\credentials` 替换以下密钥: ``` [default] aws_access_key_id=ACCESS_KEY_ID aws_secret_access_key=SECRET_ACCESS_KEY ``` **重要** 当您不再需要此 IAM 用户时,我们建议您将其删除,以符合[AWS 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)。我们建议您要求人类用户在访问[AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)时使用临时证书 AWS。 ------