云架构设计实战 课件 单元 4 身份和访问管理.pptx

云计算技术

单元4身份和访问管理

单元概述

IAM是一种Web服务可以帮助用户安全地控制对亚马逊云科技资源的访问用户可以使用IAM控制对用户进行身份验证(登录)和授权(具有权限)以使用资源本单元将介绍AmazonWebServices的身份和访问控制服务：IAM（IdentityandAccessManagement）

学习目标知识点：账户（Account）和用户（User）的区别什么是身份验证、授权用户的访问密码ID和私有访问密钥什么是MFA（Multi-FactorAuthentication，多重身份验证）什么是策略、内联策略、权限边界策略的JSON文档结构什么是角色角色的两个典型应用场景技能点：创建用户、启用用户的多重身份验证创建组、维护组的成员创建、编辑策略为用户、组、角色附加策略（授权）创建角色使用IAM角色委托跨Amazon账户的访问权限使用角色向EC2实例提供访问权限从实例的元数据中获取临时凭证

项目1创建用户和组项目描述本项目将在亚马逊云科技中国区创建必要的用户、组和策略企业在亚马逊云科技注册账户（Account）亚马逊云科技国际（即：全球）亚马逊云科技中国的北京和宁夏区域Amazon账户根用户（AmazonAccountRootUser）没有根用户的概念可使用根用户或AmazonWebServices的IAM服务来创建新的用户、组、角色等，并创建策略对用户、组、角色进行授权所有用户都是IAM（AmazonIdentityandAccessManagement，身份和管理）用户，包括创建Amazon账户的用户

任务1知识预备与方案设计项目1创建用户和组1.账户、用户账户（Account）、用户（User）在中文中含义很类似但是在AmazonWebServices中意义完全不一样账户（Account）是一个12位数字的ID，主要的目的是用于计费和付款初次在AmazonWebServices进行注册时会生成一个账户用户（User）是在账户（Account）下创建的一个账户（Account）下可以有多个用户（User）通常会为组织中的不同员工创建不同的用户不同用户用不同的密码登录、访问

项目1创建用户和组2.身份身份（IAMIdentity）是AWS中用于标识和分组的IAM资源对象可以将策略附加到IAM身份，身份包括用户、组和角色3.身份验证委托人（Principal）是请求对Amazon资源执行操作的人员或应用程序这些人员或者应用程序必须使用其凭证先进行身份验证（登录）IAM用户要从API或AmazonCLI中进行身份验证，需要提供访问密钥ID和私有密钥4.授权委托人还必须获得授权（允许）才能完成对Amazon资源执行的操作授权使用策略（Policy）来确定委托人所使用的用户、组、角色的权限大多数策略作为JSON文档存储在Amazon中

项目1创建用户和组5.策略的JSON文档结构大多数策略在Amazon中存储为JSON文档JSON策略文档包含以下元素：文档顶部的可选策略范围信息一个或多个单独语句Version：指定要使用的策略语言版本Statement：将该主要策略元素作为以下元素的容器Sid（可选）：包括可选的语句ID以区分不同的语句Effect：使用Allow或Deny指示策略是允许还是拒绝访问Principal（仅在某些情况下需要）Action：包括策略允许或拒绝的操作列表Resource（仅在某些情况下需要）Condition（可选）：指定策略在哪些情况下授予权限

项目1创建用户和组6.方案设计本项目创建管理员组Administrators该组中有两个管理员用户admin1、admin2为安全起见两个管理员采用基于时间的动态密码登录控制台对管理员组Administrators进行授权，附加AdministratorAccess策略创建额外的用户EC2_admin，该用户仅能管理EC2实例

任务2创建管理员用户、管理员组项目1创建用户和组本任务将创建管理员组Administrators，该组绑定AdministratorAccess策略创建两个管理员用户admin1、admin2，加入到Administrators管理员组两个管理员采用多重验证（MFA，Multi-FactorAuthentication）（1）以根用户登录管理控制台单击“服务”→“安全身份”→“IAM”打开IAM控制面板，单击“管理访问”→“用户组”→“创建组”

项目1创建用户和组（2）输入用户组名“Administrators”（3）在控制面板左侧，