AWS IAM：IAM高级主题：跨账户访问与联邦身份管理技术教程.docxVIP

PAGE1

PAGE1

AWSIAM：IAM高级主题：跨账户访问与联邦身份管理技术教程

1AWSIAM(IdentityandAccessManagement)：IAM基础回顾

1.1IAM用户与组管理

在AWS中，IAM用户是能够访问AWS资源的实体。每个用户都有一个唯一的名称，并可以拥有多个访问密钥和密码。用户可以被分配IAM策略，这些策略定义了用户可以执行的操作类型。例如，一个用户可能被授予启动和停止EC2实例的权限，但没有权限访问S3存储桶。

1.1.1创建IAM用户

awsiamcreate-user--user-nameMyNewIAMUser

创建用户后，可以使用以下命令为其附加策略：

awsiamattach-user-policy--user-nameMyNewIAMUser--policy-arnarn:aws:iam::123456789012:policy/MyPolicy

1.1.2管理IAM组

IAM组是一组IAM用户的集合。通过将权限分配给组，可以简化对多个用户的权限管理。例如，可以创建一个名为“Admins”的组，并将所有需要管理员权限的用户添加到该组。

创建IAM组

awsiamcreate-group--group-nameMyNewIAMGroup

将用户添加到组

awsiamadd-user-to-group--user-nameMyNewIAMUser--group-nameMyNewIAMGroup

1.2IAM策略与权限详解

IAM策略是JSON格式的文档，用于定义用户、组或角色可以执行的操作。策略可以非常具体，也可以非常广泛，具体取决于策略中的条件和资源。

1.2.1策略示例

以下是一个示例策略，它允许用户读取S3存储桶中的对象，但不允许写入或删除：

{

Version:2012-10-17,

Statement:[

{

Effect:Allow,

Action:[

s3:GetObject,

s3:ListBucket

],

Resource:[

arn:aws:s3:::mybucket/*,

arn:aws:s3:::mybucket

]

},

{

Effect:Deny,

Action:[

s3:PutObject,

s3:DeleteObject

],

Resource:[

arn:aws:s3:::mybucket/*,

arn:aws:s3:::mybucket

]

}

]

}

1.2.2策略的附加与分离

策略可以被附加到用户、组或角色。例如，要将上述策略附加到名为“Readers”的组，可以使用以下命令：

awsiamput-group-policy--group-nameReaders--policy-nameReadS3Policy--policy-documentfile://read-s3-policy.json

要从组中分离策略，可以使用以下命令：

awsiamdelete-group-policy--group-nameReaders--policy-nameReadS3Policy

1.2.3权限边界

权限边界是一种IAM策略，可以附加到IAM用户、组或角色，用于限制这些实体可以拥有的权限。例如，可以创建一个权限边界策略，该策略限制用户只能访问特定的S3存储桶。

创建权限边界策略

{

Version:2012-10-17,

Statement:[

{

Effect:Deny,

Action:*,

Resource:*,

Condition:{

StringNotEquals:{

aws:ResourceTag/Project:MyPr