aws | 使用 IAM 开启他人管理

如果你的账户下面有一个实例想和别人共享管理，可以使用 IAM 方式。

原理是，创建一个新的 IAM 账户（带有用户名和密码），然后这账户发送给需要的人，别人登录这个账户，就能看到要管理的实例了。

这里用 EC2 的实例作一个例子，其他的产品原理一样。

创建 IAM 账户

登陆控制台后，搜索 IAM。

创建用户

如果你想要多个人一起共享账户，那么，红框中就不要选。

另外，用户名就是登录名。

创建策略

所谓的策略就是，让 IAM 对什么资源有什么权限访问。

编辑权限。

一般的语法是这样的，以 EC2 为例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/instance-id"
            ]
        }
    ]
}

• region
  • 区域代码
  • 每个区域都有自己的代码，比如香港就是 ap-east-1
• account-id
  • 账户的 12 位 ID
• instance-id
  • 实例 ID

一个例子如 "arn:aws:ec2:ap-east-1:5901837****:instance/i-0ea0611***4748"

• Action
  • 赋予什么权限

如果是全权限，全实例可以这样子

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

下面进行保存和创建策略就好了。「创建策略的时候，记得取一个好事识别的名字，后面要继续用」

加载策略

红框刷新，绿框搜索，选择刚才弄好的策略就好了。

登陆

创建好之后，会给你一个登录地址，还有登录名和密码。

如果忘记了登录地址，可以查看下面的图片。