創建AWS的賬號之後,用戶就可以通過這個email賬號和密碼登陸了。不過這個主賬號的權限實在是太大了,從管理和安全的角度來說我們都需要限制不同用戶的訪問權限,這個可以通過IAM來實現。即使是管理員本身,平常也應該儘量避免直接使用主賬號,而使用具有管理權限的IAM賬號。
豆子小結了一下3個常用的知識點:
創建基本的賬號和組;
MFA綁定賬號
自定義Role(角色)
首先我們來看看如何創建一個基本的IAM 組和 賬號
首先用主賬號登陸,然後點開IAM的管理界面,我們可以先創建一個管理員組
名字就叫administrators好了
默認的3個模板, Administrator access 模板可以允許訪問除了賬單系統以外的所有服務和資源;Power User 可以訪問除了賬單系統和用戶系統之外的服務和資源;Read Only 就只有只讀服務了。這裏我們選擇第一個模板
組就創建好了
接下來,我們創建一個新用戶,名字就叫做Yuan, 注意下面那個access key的選項主要是用來生成驗證密碼了以便用戶能夠遠程的訪問API接口(具體使用可以參加前一篇關於如何在windows下使用命令行的博文)。如果只打算使用圖形界面,這個是可有可無的。
然後把yuan加入administrators 組,yuan就自動獲取了管理權限。
別忘記設置用戶的密碼
這樣一個基本的用戶組和管理員就設定好了。
接下來我們看看如何進一步加強安全性,我們可以給用戶綁定MFA驗證。
點擊進入配置,一般方便使用,可以使用Virtual MFA device。我們可以安裝Google authenticator 到iphone, android 手機或者PC上面,每次登陸的時候除了用戶名和密碼,還需要輸入authenticator提供的驗證碼
點擊Countinue之後會出現一個巨大的二維碼
然後我在我的iphone上下載安裝了goolge authenticator (左下角的白***標)
打開之後
選擇Scan Barcode, 掃描二維碼
會自動綁定Yuan的賬號,並實時的生成驗證碼,該驗證碼每30秒會變化一次。
連續兩次輸入驗證碼。
綁定就成功了。
最後,別忘了配置用戶登陸的URL。
瀏覽器裏輸入以上https://beanxyz.signin.aws.amazon.com/console
然後輸入username, password和 MFA code (手機程序),就可以登陸了
登陸以後,右上角可以看見當前登陸名
下一篇豆子來試試看在IAM裏面如何自定義角色