本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM教學課程:建立並附加您的第一個客戶管理政策
在本教學課程中,您會 AWS Management Console 使用建立客戶管理的政策,然後將該原則附加到 AWS 帳戶. IAM 您建立的原則可讓IAM測試使用者以唯讀權限直接登入。 AWS Management Console
此工作流程有三個基本步驟:
- 步驟 1:建立政策
-
根據預設,IAM使用者沒有執行任何動作的權限。它們無法存取 AWS 管理主控台或管理其中的資料,除非您允許。在此步驟中,您建立客戶受管政策,其允許任何連接的使用者登入主控台。
- 步驟 2:連接政策
-
當您將政策連接到使用者時,使用者會繼承與該政策相關聯的所有存取許可。在此步驟中,您會將新的政策連接到測試使用者。
- 步驟 3:測試使用者存取許可
-
一旦連接政策,便可以使用者身分登入並測試政策。
必要條件
若要執行此教學課程中的步驟,您需具備以下內容:
-
您可 AWS 帳戶 以以具有管理權限的IAM使用者身分登入。
-
未指派權限或群組成員資格的測試IAM使用者,如下所示:
使用者名稱 群組 許可 PolicyUser <無> <無>
步驟 1:建立政策
在此步驟中,您會建立客戶管理的政策,允許任何附加的使用者以唯讀IAM存取權登入。 AWS Management Console
為您的測試使用者建立政策
-
使用具有管理員權限https://console.aws.amazon.com/iam/
的使用者登入IAM主控台。 -
在導覽窗格上選擇 Policies (政策)。
-
在內容窗格中,選擇 Create policy (建立政策)。
-
選擇選JSON項並複製下列JSON政策文件中的文字。將此文字貼到JSON文字方塊中。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] } -
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 Next (下一步)。
注意
您可以隨時在視覺和JSON編輯器選項之間切換。不過,如果您在 [視覺化編輯器] 索引標籤中進行變更或選擇 [檢閱原則],IAM可能會重新架構您的原則以針對視覺化編輯器最佳化。如需詳細資訊,請參閱 政策結構調整。
-
在檢視與建立頁面上,針對政策名稱輸入
UsersReadOnlyAccessToIAMConsole。檢視政策授與的許可,然後選擇建立政策來儲存您的工作。新的政策會出現在受管政策清單中,並且已準備好連接。
步驟 2:連接政策
接下來,您將剛剛創建的策略附加到測試IAM用戶。
連接政策到您的測試使用者
-
在IAM主控台的導覽窗格中,選擇 [原則]。
-
在政策清單頂端的搜尋方塊中,開始輸入
UsersReadOnlyAccesstoIAMConsole直到您可以看到您的政策。然後選擇列表中旁邊UsersReadOnlyAccessToIAMConsole的單選按鈕。 -
選擇 Actions (動作) 按鈕,然後選擇 Attach (連接)。
-
在IAM實體中,選擇篩選使用者的選項。
-
在搜尋方塊中,開始輸入
PolicyUser直到該使用者顯示在清單上。然後勾選清單中該使用者旁的方塊。 -
選擇連接政策。
您已將策略附加到IAM測試用戶,這意味著該用戶現在具有IAM控制台的只讀訪問權限。
步驟 3:測試使用者存取許可
對於本教學,建議您以測試使用者身分登入來測試存取許可,如此才能了解使用者可能經歷的情況。
以測試使用者登入來測試存取許可
-
使用您的
PolicyUser測試使用者登入IAM主控台。https://console.aws.amazon.com/iam/ -
瀏覽主控台頁面並嘗試建立新的使用者或群組。請注意,
PolicyUser可以顯示資料,但無法建立或修改現有IAM資料。
相關資源
如需相關資訊,請參閱下列資源:
Summary
現在您已成功完成所有建立和連接客戶受管政策的必要步驟。因此,您可以使用測試帳戶登入IAM主控台,以查看使用者的體驗。
