0%

aws | 使用 IAM 开启他人管理

如果你的账户下面有一个实例想和别人共享管理,可以使用 IAM 方式。

原理是,创建一个新的 IAM 账户(带有用户名和密码),然后这账户发送给需要的人,别人登录这个账户,就能看到要管理的实例了。

这里用 EC2 的实例作一个例子,其他的产品原理一样。

创建 IAM 账户

登陆控制台后,搜索 IAM

创建用户

如果你想要多个人一起共享账户,那么,红框中就不要选。

另外,用户名就是登录名。

创建策略

所谓的策略就是,让 IAM 对什么资源有什么权限访问。

编辑权限。

一般的语法是这样的,以 EC2 为例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id"
]
}
]
}
  • region
    • 区域代码
    • 每个区域都有自己的代码,比如香港就是 ap-east-1
  • account-id
    • 账户的 12ID
  • instance-id
    • 实例 ID

一个例子如 "arn:aws:ec2:ap-east-1:5901837****:instance/i-0ea0611***4748"

  • Action
    • 赋予什么权限

如果是全权限,全实例可以这样子

1
2
3
4
5
6
7
8
9
10
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}

下面进行保存和创建策略就好了。「创建策略的时候,记得取一个好事识别的名字,后面要继续用」

加载策略

红框刷新,绿框搜索,选择刚才弄好的策略就好了。

登陆

创建好之后,会给你一个登录地址,还有登录名和密码。

如果忘记了登录地址,可以查看下面的图片。

请我喝杯咖啡吧~