建立角色和連接政策 (主控台) - AWS Identity and Access Management
範例 1:設定使用者做為資料庫管理員 (主控台)範例 2:設定使用者做為網路管理員 (主控台)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立角色和連接政策 (主控台)

數個先前列出的政策授予能力,可讓您使用角色設定 AWS 服務,那些角色可代表您啟用服務以執行操作。工作職能政策會指定確切的角色名稱,您必須使用或至少包含字首,其指定可用名稱的第一個部分。若要建立這些角色之一,請執行下列程序中的步驟。

建立 AWS 服務 的角色 (IAM 主控台)

  1. 登入 AWS Management Console,並前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在 IAM 主控台的導覽窗格中,選擇角色,然後選擇建立角色

  3. 對於 Trusted entity type (信任的實體類型),請選擇 AWS 服務

  4. 針對服務或使用案例,選擇服務,然後選擇使用案例。服務會定義使用案例,以包含服務所需的信任政策。

  5. 選擇 Next (下一步)。

  6. 對於許可政策,選項取決於您選取的使用案例:

    • 如果服務定義了角色的許可,則您無法選取許可政策。

    • 從一組有限的許可政策中選取。

    • 從所有許可政策中選取。

    • 選取無許可政策,在建立角色之後建立政策,然後將政策連接到角色。

  7. (選用) 設定許可界限。這是進階功能,可用於服務角色,而不是服務連結的角色。

    1. 開啟設定許可界限區段,然後選擇使用許可界限來控制角色許可上限

      IAM 包含您帳戶中的 AWS 受管和客戶管理政策清單。

    2. 選取用於許可界限的政策。

  8. 選擇 Next (下一步)。

  9. 對於角色名稱,選項取決於服務:

    • 如果服務定義了角色名稱,則無法編輯角色名稱。

    • 如果服務定義了角色名稱的字首,則可以輸入選用字尾。

    • 如果服務未定義角色名稱,則可以為角色命名。

      重要

      當您命名角色時,請注意下列事項:

      • 角色名稱在您的 AWS 帳戶中必須是唯一的,且不能是因為大小寫而成為唯一。

        例如,不要同時建立名為 PRODROLEprodrole 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。

      • 因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。

  10. (選用) 在說明中,輸入角色的說明。

  11. (選用) 若要編輯使用案例和角色許可,請在步驟 1:選取受信任的實體或者步驟 2:新增許可區段中選擇編輯

  12. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的 Tags for AWS Identity and Access Management resources

  13. 檢閱角色,然後選擇 Create role (建立角色)。

範例 1:設定使用者做為資料庫管理員 (主控台)

此範例顯示設定 IAM 使用者 Alice 作為資料庫管理員所需的步驟。您使用該區段中表格第一列的資訊,並允許使用者啟用 Amazon RDS 監控。您將 DatabaseAdministrator 政策連接到 Alice 的 IAM 使用者,讓他們可以管理 Amazon 資料庫服務。該政策也允許 Alice 將稱為 rds-monitoring-role 的角色傳遞到 Amazon RDS 服務,讓該服務代表他們來監控 Amazon RDS 資料庫。

  1. 簽署 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 選擇政策,在搜尋方塊中輸入 database,然後按下 Enter 鍵。

  3. 選取 DatabaseAdministrator 政策的選項按鈕,選擇動作,然後選擇連接

  4. 在實體清單中,選取 Alice,然後選擇連接政策。Alice 現在可以管理 AWS 資料庫。不過,為允許 Alice 來監控這些資料庫,您必須設定服務角色。

  5. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  6. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon RDS

  7. 選擇 Amazon RDS Role for Enhanced Monitoring (增強監控的 Amazon RDS 角色) 使用案例。

  8. Amazon RDS 定義角色的許可。選擇 Next: Review (下一步:檢閱) 以繼續進行。

  9. 角色名稱必須是 Alice 現在所有的 DatabaseAdministrator 政策所指定的其中一個。其中一個是 rds-monitoring-role。為 Role name (角色名稱) 輸入該名稱。

  10. (選用) 在 Role description (角色說明) 中,輸入新角色的說明。

  11. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  12. Alice 現在可以在 Amazon RDS 主控台的 Monitoring (監控) 區段中啟用 RDS Enhanced Monitoring (RDS 增強型監控)。例如,他們在建立資料庫執行個體、建立讀取複本或修改資料庫執行個體時,他們可能執行此操作。在將 Enable Enhanced Monitoring (啟用增強型監控) 設定為 Yes (是) 時,他們必須在 Monitoring Role (監控角色) 方塊中輸入他們建立的角色名稱 (rds-monitoring-role)。

範例 2:設定使用者做為網路管理員 (主控台)

此範例顯示設定 IAM 使用者 Jorge 作為網路管理員所需的步驟。它使用該區段中表格的資訊,允許 Jorge 監控進出 VPC 的 IP 流量。它也允許 Jorge 在 CloudWatch Logs 中擷取日誌中的資訊。您可將 NetworkAdministrator 政策連接到 Jorge 的 IAM 使用者,讓他們可以設定 AWS 網路資源。該政策也會在您建立流程日誌時,讓 Jorge 將名稱開頭為 flow-logs* 的角色傳遞到 Amazon EC2。在這個案例中,不像範例 1,沒有預先定義的服務角色類型,所以您必須分別地執行幾個步驟。

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇政策,然後在搜尋方塊中輸入 network,再按下 Enter。

  3. 選取 NetworkAdministrator 政策旁的選項按鈕,選擇動作,然後選擇連接

  4. 在使用者清單中,選取 Jorge 旁的核取方塊,然後選擇連接政策。Jorge 現在可以管理 AWS 網路資源。不過,為啟用監控 VPC 中的 IP 流量,您必須設定服務角色。

  5. 由於您需要建立的服務角色,沒有預先定義的受管政策,您必須先建立它。在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。

  6. 政策編輯器區段中,選擇 JSON 選項,並從下列 JSON 政策文件複製文字。將此文字貼上至 JSON 文字方框中。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。

    注意

    您可以隨時切換視覺化JSON 編輯器選項。不過,如果您進行變更或在視覺化編輯器中選擇下一步,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱政策結構調整

  8. 檢視與建立頁面上,針對政策名稱輸入 vpc-flow-logs-policy-for-service-role。檢視此政策中定義的許可以查看政策授與的許可,然後選擇建立政策來儲存您的工作。

    新的政策會出現在受管政策清單中,並且已準備好連接。

  9. 在 IAM 主控台的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  10. 選擇 AWS Service ( 服務) 角色類型,然後選擇 Amazon EC2

  11. 選擇 Amazon EC2 使用案例。

  12. Attach permissions policies (連接許可政策) 頁面上,選擇您稍早建立的政策 vpc-flow-logs-policy-for-service-role,然後選擇 Next: Review (下一步:檢閱)

  13. 角色名稱必須經過 Jorge 現在所有的 NetworkAdministrator 政策許可。任何以 flow-logs- 開頭的名稱均允許。在此範例中,為 Role name (角色名稱) 輸入 flow-logs-for-jorge

  14. (選用) 在 Role description (角色說明) 中,輸入新角色的說明。

  15. 檢閱詳細資訊之後,選擇 Create role (建立角色)

  16. 現在您可以設定此案例所需的信任政策。在角色頁面上,選擇 flow-logs-for-jorge 角色 (名稱,而非核取方塊)。針對您的新角色,在詳細資訊頁面上,選擇 Trust relationships (信任關係) 標籤,然後選擇 Edit trust relationship (編輯信任關係)

  17. 將「Service (服務)」行讀取為如下所示,取代 ec2.amazonaws.com 的項目:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge 現在可在 Amazon EC2 主控台中為 VPC 或子網路建立流程日誌。當您建立流程日誌時,指定 flow-logs-for-jorge 角色。該角色具有許可,以建立日誌和寫入資料。