授與 Lightsail 用者的存取權限 - Amazon Lightsail
建立存取權管理與存取權管理政策為 Lightsail 存取建立 IAM 群組,並附加存取政策建立 IAM 使用者,並將該使用者新增至 Lightsail 存取群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與 Lightsail 用者的存取權限

身為AWS 帳戶根使用者或具有管理員存取權的 AWS Identity and Access Management (IAM) 使用者,您可以在 AWS 帳戶中建立一或多個 IAM 使用者,而這些使用者可以設定不同層級的存取權限 AWS。

對於 Amazon Lightsail,您可能想要建立一個只能存取 Lightsail 服務的 IAM 使用者。當有人加入您的團隊時,需要存取權才能檢視、建立、編輯或刪除 Lightsail 資源,但不需要存取其他提供的服務時,就可以執行 AWS此操作。若要進行此設定,您必須先建立可授與 Lightsail 存取權的 IAM 政策,然後建立 IAM 群組,然後將該政策附加到群組。然後,您可以建立 IAM 使用者,並讓他們成為群組的成員,讓他們能夠存取 Lightsail。

當有人離開您的團隊時,您可以從 Lightsail 存取群組中移除該使用者,以撤銷他們對 Lightsail 的存取權,例如,他們離開您的團隊,但仍在您的公司工作。如果使用者離開公司且不再需要存取權,則可從 IAM 中刪除他們。

警告

此案例需要具有程式設計存取權限和長期登入資料的 IAM 使用者,這會帶來安全風險。為了減輕此風險,我們建議您僅向這些使用者提供執行工作所需的權限,並在不再需要這些使用者時移除這些使用者。如有必要,可更新存取金鑰。如需詳細資訊,請參閱 IAM 使用者指南中的更新存取金鑰

內容

建立存取權管理與存取權管理政策

請依照下列步驟建立適用於 Lightsail 存取的 IAM 政策。如需詳細資訊,請參閱 IAM 文件中的建立 IAM 政策

  1. 登入 IAM 主控台

  2. 在左側導覽窗格中,選擇 Policies (政策)

  3. 選擇建立政策

  4. Create Policy (建立政策) 頁面上,選擇 JSON 索引標籤。

    IAM 主控台中的 JSON 索引標籤。

  5. 反白文字方塊的內容,然後複製該內容並貼到以下政策組態文字。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

    結果應如下範例所示:

    IAM 主控台中的 JSON 索引標籤會填入 Lightsail 存取政策。

    這會授予對所有 Lightsail 動作和資源的存取權。需要存取其他服務的動作 (例如啟用 VPC 對等互連、將 Lightsail 快照匯出至 Amazon EC2 或使用 Lightsail 建立 Amazon EC2 資源) 需要此政策中未包含的其他許可。 AWS如需詳細資訊,請參閱下列指南:

    如需您可授與的動作特定和資源特定許可的範例,請參閱 Amazon Lightsail 資源層級許可政策範例。

  6. 選擇檢閱政策

  7. Review Policy (檢閱政策) 頁面中,為政策命名。請設定一個描述名稱,例如 LightsailFullAccessPolicy

  8. 新增說明,然後檢閱政策設定。如需變更,請選擇 Previous (上一步) 來修改政策。

    IAM 主控台中的「檢閱政策」頁面。

  9. 確定政策設定正確後,選擇 Create Policy (建立政策)

    政策現已建立完成且可新增至現有的 IAM 群組,或者您可以使用本指南下一節中的步驟來建立新的 IAM 群組。

為 Lightsail 存取建立 IAM 群組,並附加存取政策

請依照下列步驟為 Lightsail 存取建立 IAM 群組,然後附加本指南前一節中建立的 Lightsail 存取政策。如需詳細資訊,請參閱 IAM 文件中的建立 IAM 群組將政策附接至 IAM 群組

  1. IAM 主控台的左側導覽窗格中,選擇群組

  2. 選擇 Create New Group (建立新群組)。

  3. Set Group Name (設定群組名稱) 頁面中,為群組命名。請設定一個描述名稱,例如 LightsailFullAccessGroup

  4. 在「附加原則」頁面中,搜尋您先前在本指南中建立的 Lightsail 原則,LightsailFullAccessPolicy例如。

  5. 在該政策旁新增核取記號,然後選擇Next step (下一步)

  6. 檢閱群組設定。如需變更,請選擇 Previous (上一步) 來修改群組政策。

  7. 確定群組設定正確後,選擇 Create Group (建立群組)

    現在已建立群組,新增至群組的使用者將可存取 Lightsail 動作和資源。您可以將現有的 IAM 使用者新增至該群組,或使用本指南下一節中的步驟來建立新的 IAM 使用者。

建立 IAM 使用者,並將該使用者新增至 Lightsail 存取群組

請依照下列步驟建立 IAM 使用者,並將該使用者新增至 Lightsail 存取群組。如需詳細資訊,請參閱 IAM 文件中的在您的 AWS 帳戶中建立 IAM 使用者以及在 IAM 群組中新增和移除使用者

  1. IAM 主控台的左側導覽窗格中,選擇使用者

  2. 選擇 Add user (新增使用者)

  3. 在該頁面的 Set user details (設定使用者詳細資訊) 區段中,為使用者命名。

  4. 在頁面的 「選 AWS 取存取類型」段落下,選擇下列選項:

    1. 選擇「程式設計存取」可為 AWS API、CLI、SDK 和其他開發工具 (可用於 Lightsail 動作和資源) 啟用存取金鑰 ID 和秘密存取金鑰。如需詳細資訊,請參閱設 AWS CLI 定使用 Lightsail

    2. 選擇AWS 管理主控台存取以啟用密碼,讓使用者登入 AWS 管理主控台,從而登入 Lightsail 主控台。當您選取此選項時,即會顯示下列密碼選項:

      1. 選擇自動產生密碼,讓 IAM 產生密碼,或選擇「自訂密碼」來輸入您自己的密碼。

      2. 選擇 Require password reset (需要密碼重設),則使用者下次登入時就必須建立新的密碼 (重設密碼)。

      注意

      如果您僅選擇「程式設計存取」選項,則使用者將無法登入 AWS 主控台和 Lightsail 主控台。

  5. 選擇下一步:許可

  6. 在頁面的 [設定權限] 區段下,選擇 [新增使用者至群組],然後選取您先前在本指南中建立的 Lightsail 存取群組,LightsailFullAccessGroup例如。

    在 IAM 主控台中新增使用者至群組。

  7. 選擇 Next: Tags (下一步:標籤)。

  8. (選用) 藉由連接標籤做為索引鍵/值組,將中繼資料新增至使用者。如需在 IAM 中使用標籤的詳細資訊,請參閱標記 IAM 實體。

  9. 選擇下一步:檢閱

  10. 檢閱使用者設定。如需變更,請選擇 Previous (上一步) 來修改使用者群組或政策。

  11. 確定使用者設定正確後,選擇 Create user (建立使用者)

    使用者已建立,而且使用者將可以存取 Lightsail。若要撤銷使用者的 Lightsail 存取權,請從 Lightsail 存取群組中移除該使用者。如需詳細資訊,請參閱 IAM 文件中的在 IAM 群組中新增和移除使用者

  12. 若要取得使用者的登入資料,則可選擇下列選項:

    1. 選擇 [下載 .csv] 以下載包含您帳戶的使用者名稱、密碼、存取金鑰 ID、秘密存取金鑰和 AWS 主控台登入連結的檔案。

    2. 選擇 [秘密存取金鑰] 下的 [顯示],以檢視可用來以程式設計方式存取 Lightsail 的存取金鑰 (使用 AWS API、CLI、SDK 和其他開發工具)。

      重要

      這是您檢視或下載秘密存取金鑰的唯一機會,您必須先將此資訊提供給使用者,才能使用 AWS API。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您將無法再存取該私密金鑰。

    3. 選擇密碼下的顯示,以檢視使用者的密碼 (如果密碼是由 IAM 所產生)。您應提供密碼給使用者,讓他們進行第一次登入。

    4. 選擇 [傳送電子郵件] 以傳送電子郵件給使用者,讓他們知道他們現在可以存取 Lightsail。

      確認已成功建立 IAM 使用者。