Jak stworzyć role iam w AWS

Jak stworzyć role iam w AWS
W architekturze AWS często potrzebujemy jednej usługi AWS, aby zarządzać lub uzyskać dostęp do innych usług AWS (na przykład chcesz, aby instancja EC2 odczytała dane z S3 Bucket) w Twoim imieniu. Aby to zrobić, musimy udzielić zezwolenia na tę usługę, tak jak dajemy uprawnienia użytkownikom IAM na naszym koncie. Uprawnienia te są przyznawane poprzez dołączenie polityk IAM do ról IAM. Następnie ta rola IAM jest przypisywana do usługi AWS. Ten blog opisuje, w jaki sposób możemy tworzyć role IAM na AWS za pomocą AWS Management Console i interfejs wiersza poleceń AWS.

Rodzaje ról AWS

Istnieją cztery rodzaje ról, które możemy stworzyć w AWS, które są następujące:

Rola usług AWS

Role usług AWS to najczęściej używane role, gdy chcesz, aby jedna usługa AWS miała uprawnienia do uzyskania dostępu do innej usługi AWS w Twoim imieniu. Rola usługi AWS można dołączyć do instancji EC2, funkcji Lambda lub dowolnej innej usługi AWS.

Kolejna rola konta AWS

Służy to po prostu, aby umożliwić dostęp z jednego konta AWS na inne konto AWS.

Rola tożsamości internetowej

Jest to sposób, aby umożliwić użytkownikom, których nie ma na koncie AWS (nie użytkowników IAM), aby uzyskać dostęp do usług AWS na koncie AWS. Zatem korzystając z ról tożsamości internetowej użytkowników, których użytkownicy mogą mieć możliwość korzystania z usług AWS z konta.

SAML 2.0 Rola federacji

Ta rola służy do zapewnienia dostępu do konkretnych użytkowników do zarządzania i dostępu do konta AWS, jeśli są oni federowane z SAML 2.0. SAML 2.0 to protokół, który może zapewnić uwierzytelnianie i autoryzację między domenami bezpieczeństwa.

Tworzenie ról iam

W tej sekcji przyjrzymy się, w jaki sposób możesz tworzyć role IAM za pomocą następujących metod.

  • Korzystanie z konsoli zarządzania AWS
  • Za pomocą interfejsu wiersza poleceń AWS (CLI)

Tworzenie roli IAM za pomocą konsoli zarządzania

Zaloguj się na swoje konto AWS i na najlepszym pasku wyszukiwania, wpisz IAM.

Wybierz opcję IAM w menu wyszukiwania. To zabierze Cię na deskę rozdzielczą IAM. Kliknij role w lewym panelu bocznym, aby zarządzać IAM Role W twoim koncie.

Kliknij Stwórz rolę przycisk, aby utworzyć nową rolę na Twoim koncie.

W sekcji Utwórz rolę najpierw musisz wybrać rodzaj roli, którą chcesz utworzyć. W tym artykule zamierzamy tylko omówić Usługa AWS role, ponieważ są najczęściej i często stosowanymi rodzajami roli.

Teraz musisz wybrać usługę AWS, dla której chcesz stworzyć rolę. Dostępna jest długa lista usług, a my będziemy trzymać się EC2.

Aby dać rolę pożądanej zgody, musisz dołączyć politykę IAM do roli, podobnie jak zasady IAM, użytkownikom IAM, aby udzielić im uprawnień. Te zasady są dokumentami JSON z pojedynczymi lub wieloma instrukcjami. Możesz użyć zasad zarządzanych AWS lub tworzyć własne niestandardowe zasady. W przypadku tego demo załądzimy zasady zarządzane przez AWS, które daje odczyt jedynie zgody S3.

Następnie musisz dodać tagi, jeśli chcesz, a to jest całkowicie opcjonalny krok.

Na koniec przejrzyj szczegółowe informacje na temat roli, którą tworzysz, i dodaj nazwę swojej roli. Następnie kliknij przycisk Utwórz rolę w prawym dolnym rogu konsoli.

Tak więc z powodzeniem stworzyłeś rolę w AWS, a tę rolę można znaleźć w sekcji Role Console IAM.

Przywiązuj rolę do serwisu

Do tej pory stworzyliśmy rolę IAM, teraz zobaczymy, w jaki sposób możemy dołączyć tę rolę do usługi AWS w celu udzielania uprawnień. Jak stworzyliśmy rolę EC2, aby można ją było dołączyć tylko do instancji EC2.

Aby dołączyć rolę IAM do instancji EC2, najpierw utwórz instancję EC2 na swoim koncie AWS. Po utworzeniu instancji EC2 przejdź do konsoli EC2.

Kliknij na działania Tab, wybierz Bezpieczeństwo Z listy i kliknij ról Modyfikuj IAM.

W sekcji roli Modyfikuj wybierz rolę z listy, którą chcesz przypisać, i po prostu kliknij przycisk Zapisz.

Po tym, jeśli chcesz sprawdzić, czy rola jest faktycznie dołączona do twojej instancji, możesz po prostu szukać jej w sekcji podsumowującej.

Tworzenie roli IAM za pomocą interfejsu wiersza poleceń

Role IAM można tworzyć za pomocą interfejsu wiersza poleceń, a jest to najczęstsza metoda z punktu widzenia programistów, którzy wolą używać CLI niż konsola zarządzania. W przypadku AWS możesz skonfigurować CLI w systemie Windows, Mac, Linux lub po prostu możesz użyć AWS Cloudshell. Po pierwsze, zaloguj się do konta użytkownika AWS za pomocą poświadczeń i utworzenie nowej roli, po prostu przejdź do następującej procedury.

Utwórz plik polityki relacji testowych lub zaufania za pomocą następującego polecenia w terminalu.

$ vim demo_policy.JSON

W redakcji wklej politykę IAM, którą chcesz dołączyć do roli IAM.

[[[
„Wersja”: „2012-10-17”,
"Oświadczenie": [

„Efekt”: „Pozwól”,
"Główny":
„Service”: „EC2.Amazonaws.com "
,
„Action”: „STS: Assumerole”

]
]

Po skopiowaniu polityki IAM, zapisz i wyjdź z redaktora. Aby odczytać zasadę z pliku, użyj kot Komenda.

$ cat

Teraz wreszcie możesz stworzyć swoją rolę IAM za pomocą następującego polecenia.

$ AWS IAM Create-Role--Role-Nazwa-Pliksume-Role-Policy-Document: //

To polecenie utworzy rolę IAM i dołączy politykę IAM zdefiniowaną w dokumencie JSON do roli.

Politykę IAM dołączoną do roli IAM można zmienić za pomocą następującego polecenia w terminalu.

$ AWS IAM ACT-ROLE-Policy--Role-Nazwa --Polityka-arn

Aby wymienić zasady dołączone do roli IAM, użyj następującego polecenia w terminalu.

$ AWS IAM List-Attached-Role-Politys--Role-Name

Przywiązuj rolę do serwisu

Po utworzeniu roli IAM dołącz nowo utworzoną rolę IAM do usługi AWS. Tutaj dołączymy rolę do instancji EC2.

Aby dołączyć rolę do instancji EC2, najpierw musimy utworzyć profil instancji za pomocą następującego polecenia CLI.

$ AWS IAM Create-Instance Profil--instance-profile-name

Teraz dołącz rolę do profilu instancji

$ AWS IAM Add-Role-instance-profile--instance-profile-nazwa> Nazwa<--role-name>nazwa<

Wreszcie, teraz dołączymy ten profil instancji do naszej instancji EC2. Do tego potrzebujemy następującego polecenia:

$ AWS EC2 Associate-Iam-instance-profile--instance-id --Nazwa iam-instance-profile =

Aby wymienić skojarzenia profilu instancji IAM, użyj następującego polecenia w terminalu.

$ AWS EC2 Opisz-Iam-instance-profile-asocjacja

Wniosek

Zarządzanie ról IAM jest jedną z podstawowych pojęć w AWS Cloud. Role IAM można wykorzystać do autoryzacji usługi AWS w celu uzyskania dostępu do innej usługi AWS w Twoim imieniu. Są również ważne, aby zapewnić bezpieczeństwo zasobów AWS, przypisując określone uprawnienia do potrzebnych usług AWS. Role te można również wykorzystać, aby umożliwić użytkownikom IAM z innych kont AWS na korzystanie z zasobów AWS na koncie AWS. Role IAM Wykorzystaj zasady IAM do przypisywania uprawnień do usług AWS, z którymi są dołączone. Ten blog opisuje procedurę krok po kroku, aby tworzyć role IAM za pomocą interfejsu linii zarządzania AWS i interfejsu wiersza poleceń AWS.