IAM 教程:创建和附加您的第一个客户托管策略
在本教程中,您将使用 AWS Management Console 创建一个客户管理型策略,然后将该策略附加到您 AWS 账户 中的一个 IAM 用户。您创建的策略允许具有只读权限的 IAM 测试用户直接登录 AWS Management Console。
此工作流程具有三个基本步骤:
- 步骤 1:创建策略
-
默认情况下,IAM 用户没有权限来执行任何操作。未经过您的允许,他们无法访问 AWS 管理控制台,也无法管理其中的数据。在该步骤中,您创建一个允许任何附加的用户登录到该控制台的客户托管策略。
- 步骤 2:附加策略
-
将策略附加到用户时,该用户继承与该策略相关的所有访问权限。在此步骤中,您会将新策略附加到测试用户。
- 步骤 3:测试用户访问权限
-
附加策略后,您即可以该用户身份登录并测试策略。
先决条件
要执行本教程中的步骤,您必须已具备以下内容:
-
可作为 IAM 用户身份登录且具有管理权限的 AWS 账户。
-
未分配有如下权限或组成员资格的测试 IAM 用户:
用户名称 组 权限 PolicyUser <无> <无>
步骤 1:创建策略
在该步骤中,您创建一个允许任何附加用户(具有 IAM 数据的只读访问权限)登录 AWS Management Console 的客户托管策略。
为测试用户创建策略
-
使用您具有管理员权限的账户,通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
在内容窗格中,选择创建策略。
-
选择 JSON 选项,然后复制以下 JSON 策略文档中的文本。将该文本粘贴到 JSON 文本框中。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:Get*", "iam:List*" ], "Resource": "*" } ] } -
解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择下一步。
注意
您可以随时在可视化和 JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构。
-
在查看并创建页面上,键入
UsersReadOnlyAccessToIAMConsole作为策略名称。查看您的策略授予的权限,然后选择创建策略以保存您的工作。将在托管策略列表中显示新策略,并已准备好附加该策略。
步骤 2:附加策略
接下来,您会将刚刚创建的策略附加到测试 IAM 用户。
将策略挂载到测试用户
-
在 IAM 控制台的导航窗格中,选择 Policies(策略)。
-
在策略列表顶部的搜索框中,开始键入
UsersReadOnlyAccesstoIAMConsole直至您的策略出现。然后,选中列表中 UsersReadOnlyAccessToIAMConsole 旁边的单选按钮。 -
请选择 Actions(操作)按钮,然后选择 Attach(附加)。
-
在 IAM 实体中,选择选项以筛选用户。
-
在搜索框中,开始键入
PolicyUser直至该用户在列表上可见。然后,选中列表中该用户旁边的框。 -
选择附加策略。
您已将策略挂载到 IAM 测试用户,这意味着现在该用户具有 IAM 控制台的只读访问权限。
步骤 3:测试用户访问权限
对于本教程,我们建议您以各测试用户身份登录来测试访问权限,以便能了解用户可能获得的体验。
使用测试用户登录以测试访问权限
-
使用您的
PolicyUser测试用户通过以下网址登录到 IAM 控制台:https://console.aws.amazon.com/iam/。 -
浏览控制台的各个页面并尝试创建新的用户或组。请注意,
PolicyUser可以显示数据,但无法创建或修改现有 IAM 数据。
相关资源
有关信息,请参阅以下资源:
Summary
现在,您已成功完成创建和附加客户托管策略所需的所有步骤。因此,您可以使用测试账户登录 IAM 控制台,以了解用户可能获得的体验。
