02-aws-iam-setting

AWS IAM 用戶創建和設置步驟

設置IAM

1. 登入AWS管理控制台

  • 使用根帳戶或具有相應權限的IAM用戶登入AWS管理控制台。

2. 創建用戶組

2.1 導航到IAM服務

  • 在控制台首頁,搜尋並選擇“IAM”。

2.2 創建用戶組

  • 在左側導航欄中選擇「User groups」。
  • 點擊「Create group」。
  • 輸入用戶組名稱(例如,Admins)。
  • 在「Attach permissions policies」部分,選擇AdministratorAccess策略。
  • 點擊「Create group」。

影響範圍

  • 用戶組的設定直接影響用戶能夠操作和訪問哪些AWS服務與資源。
  • 授予AdministratorAccess策略的用戶組可以完全控制AWS帳戶,請僅在必要時分配此級別的權限,以降低安全風險。

3. 創建IAM用戶

3.1 添加新用戶

  • 在左側導航欄中選擇「Users」,然後點擊「Add user」。

3.2 設定用戶名和訪問類型

  • 輸入用戶名(例如,joe)。
  • 勾選「AWS Management Console access」以允許該用戶通過AWS管理控制台登錄。
  • 設定密碼(自定義或自動生成),並選擇「User must create a new password at next sign-in」(可選)。

3.3 設置權限

  • 在「Set permissions」頁面上,選擇「Add user to group」,然後從下拉列表中選擇剛剛創建的用戶組(例如,Admins)。

3.4 檢查並創建用戶

  • 點擊「Next: Tags」,然後可以選擇添加標籤(可選)。
  • 點擊「Next: Review」,檢查所有設置是否正確,然後點擊「Create user」。

3.5 保存登入資訊

  • 系統會顯示該用戶的登入詳細資訊,包括用戶名、密碼和登入URL。務必將這些信息保密,並發送給該用戶進行首次登入

4. 測試登入

4.1 獲取登入URL

  • 用戶需要使用以下格式的登入URL:

    1
    https://<Your_AWS_Account_ID>.signin.aws.amazon.com/console/

4.2 提供用戶名和密碼

  • 將用戶名和密碼發送給該用戶,並提醒他們首次登入後更改密碼。

4.3 進行測試登入

  • 用戶訪問上述URL,輸入其用戶名和密碼進行登錄。

常見設定的IAM群組類型

  1. Admins:擁有AdministratorAccess,用於管理所有AWS服務和資源。
  2. Developers:擁有PowerUserAccess或自定義策略,允許訪問開發相關的服務,但無法管理帳戶配置。
  3. ReadOnly:只能查看所有資源,無法進行任何更改,適用於監控和審計。
  4. Billing:擁有Billing訪問權限,允許查看和管理帳單相關信息。
  5. DatabaseAdmins:擁有與資料庫服務(如 RDS、DynamoDB)相關的管理權限。
  6. NetworkAdmins:能夠管理VPC、子網、路由表和其他網路資源。

為什麼要設定IAM?

  • 安全控制:IAM提供精細化的訪問控制,確保只有授權用戶能夠訪問特定的AWS資源。
  • 多用戶管理:允許不同角色的用戶擁有不同的權限設置,有助於團隊協作和帳戶安全性。
  • 審計和合規:通過IAM可以記錄和監控誰在何時訪問或修改了哪些資源,確保符合安全和合規需求。

如果不使用群組設定權限,如何配置?

  1. 直接附加策略到用戶

    • 可以直接將權限策略附加到個別用戶,但這種方式在大規模環境中難以管理。

  2. 使用自定義策略

    • 通過編寫JSON格式的策略,可以針對具體需求設置細緻的權限控制。

    • 範例

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      {
      "Version": "2012-10-17",
      "Statement": [
          {
          "Effect": "Allow",
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::example-bucket"
          },
          {
          "Effect": "Allow",
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::example-bucket/*"
          }
      ]
      }

  3. 策略邊界(Permissions Boundary)

    • 可以使用策略邊界限制IAM用戶或角色的最大權限集,進一步加強安全性。

權限控管的建議

  • 最小權限原則:只分配用戶完成任務所需的最少權限,避免安全風險。
  • 多重身份驗證(MFA):為用戶啟用MFA,增加一層安全保護。
  • 使用標籤(Tags)管理:對用戶或資源添加標籤,以便於管理和權限分組。
  • 定期審查和更新:隨著項目需求的變化,定期檢查和更新IAM設置,確保權限始終與安全需求匹配。

總結

通過以上步驟,您成功創建並配置了AWS IAM用戶與群組,確保您的AWS帳戶受到適當的訪問控制。進一步管理IAM權限時,務必考慮最小權限原則,靈活使用群組和自定義策略,以提高安全性和可管理性。

延伸閱讀

aws
#AWS #IAM
02-aws-iam-setting
https://terryyaowork.github.io/aws/20241030/3396982194/
作者
Terry Yao
發布於
2024年10月30日
許可協議