So erstellen Sie IAM -Rollen in AWS

So erstellen Sie IAM -Rollen in AWS
In AWS Architecture benötigen wir häufig einen AWS -Dienst, um andere AWS -Dienste zu verwalten oder zugreifen (z. B. möchten Sie Ihre EC2 -Instanz in Ihrem Namen Daten von S3 Bucket lesen). Dazu müssen wir diesem Service die Erlaubnis geben, genau wie wir IAM -Benutzer auf unserem Konto Berechtigungen geben. Diese Berechtigungen werden erteilt, indem IAM -Richtlinien an IAM -Rollen beigefügt werden. Dann wird diese IAM -Rolle dem AWS -Dienst zugeordnet. In diesem Blog wird beschrieben.

Arten von AWS -Rollen

Es gibt vier Arten von Rollen, die wir in AWS erstellen können, die wie folgt sind:

AWS -Service -Rolle

AWS -Service -Rollen sind am häufigsten verwendete Rollen, wenn ein AWS -Service in Ihrem Namen Berechtigungen für einen anderen AWS -Service zugreifen soll. Die AWS -Service -Rolle kann an eine EC2 -Instanz, Lambda -Funktionen oder einen anderen AWS -Service beigefügt werden.

Eine andere AWS -Kontorolle

Dies wird einfach verwendet, um Zugriff von einem AWS -Konto auf ein anderes AWS -Konto zu ermöglichen.

Webidentitätsrolle

Auf diese Weise können Benutzer, die sich nicht in Ihrem AWS -Konto befinden (nicht in IAM -Benutzern), auf AWS -Dienste in Ihrem AWS -Konto zugreifen. Mithilfe von Webidentitätsfunktionen können diese Benutzer AWS -Dienste von Ihrem Konto aus nutzen.

Saml 2.0 Föderationsrolle

Diese Rolle wird verwendet, um bestimmten Benutzern Zugriff zu erhalten.0. Saml 2.0 ist ein Protokoll, das Authentifizierung und Autorisierung zwischen Sicherheitsdomänen liefern kann.

IAM -Rollen erstellen

In diesem Abschnitt werden wir uns ansehen, wie Sie IAM -Rollen mit den folgenden Methoden erstellen können.

  • Verwendung der AWS -Managementkonsole
  • Verwenden Sie die AWS -Befehlszeilenschnittstelle (CLI)

Erstellen der IAM -Rolle mithilfe der Verwaltungskonsole

Melden Sie sich in Ihrem AWS -Konto an und geben Sie in der obersten Suchleiste IAM ein.

Wählen Sie die Option IAM im Suchmenü aus. Dies führt Sie zu Ihrem IAM -Dashboard. Klicken Sie auf Rollen im linken Seitenfeld, um IAM zu verwalten Rollen in deinem Account.

Klicke auf Rolle erstellen Schaltfläche, um eine neue Rolle in Ihrem Konto zu erstellen.

Im Abschnitt "Rollenerstellen erstellen" müssen Sie zunächst die Art der Rolle auswählen, die Sie erstellen möchten. In diesem Artikel werden wir nur diskutieren AWS -Service Rollen, wie sie die am häufigsten und am häufigsten verwendete Rolle sind.

Jetzt müssen Sie den AWS -Dienst auswählen, für den Sie die Rolle erstellen möchten. Hier gibt es eine lange Liste von Diensten und wir bleiben bei EC2.

Um eine Rolle die gewünschte Erlaubnis zu geben, die Sie möchten, müssen Sie IAM -Richtlinien der IAM -Nutzer an die Rolle einbringen, wie eine IAM -Richtlinie beigefügt ist, um ihnen Berechtigungen zu erteilen. Diese Richtlinien sind JSON -Dokumente mit einzelnen oder mehreren Aussagen. Sie können entweder AWS -verwaltete Richtlinien verwenden oder Ihre eigenen benutzerdefinierten Richtlinien erstellen. Für diese Demo werden wir eine AWS -verwaltete Richtlinie anschließen, mit der S3 nur die Erlaubnis zur Erlaubnis ermöglicht.

Als nächstes müssen Sie Tags hinzufügen, wenn Sie möchten, und dies ist absolut optionaler Schritt.

Überprüfen Sie zuletzt die Details über die Rolle, die Sie erstellen, und fügen Sie den Namen für Ihre Rolle hinzu. Klicken Sie dann in der unteren rechten Ecke der Konsole auf die Schaltfläche Rollen erstellen.

Sie haben also erfolgreich eine Rolle in AWS geschaffen und diese Rolle finden Sie in der Rolle der IAM -Konsole.

Rolle mit dem Service beibringen

Bisher haben wir eine IAM -Rolle geschaffen, jetzt werden wir sehen, wie wir diese Rolle einem AWS -Service beibringen können, um Berechtigungen zu erteilen. Da wir eine EC2 -Rolle geschaffen haben, kann sie nur an eine EC2 -Instanz angeschlossen werden.

Um einer EC2 -Instanz eine IAM -Rolle beizubringen, erstellen Sie zunächst eine EC2 -Instanz in Ihrem AWS -Konto. Gehen Sie nach der Erstellung einer EC2 -Instanz zur EC2 -Konsole.

Klick auf das Aktionen Tab, wählen Sie Sicherheit in der Liste und klicken Sie auf die Rolle des Modify IAM.

Wählen Sie im Abschnitt "IAM IAM" die Rolle aus der Liste, die Sie zuweisen möchten, die Rolle aus und klicken Sie einfach auf die Schaltfläche Speichern.

Wenn Sie danach überprüfen möchten, ob die Rolle Ihrer Instanz tatsächlich beigefügt ist.

Erstellen der IAM -Rolle mithilfe der Befehlszeilenschnittstelle

IAM -Rollen können mithilfe der Befehlszeilenschnittstelle erstellt werden. Dies ist die häufigste Methode aus der Sicht der Entwickler, die es vorziehen, CLI über die Verwaltungskonsole zu verwenden. Für AWS können Sie CLI entweder unter Windows, Mac, Linux oder einfach AWS Cloudshell einrichten. Melden Sie sich zunächst mit Ihren Anmeldeinformationen bei AWS -Benutzerkonto an und um eine neue Rolle zu erstellen.

Erstellen Sie eine Test- oder Vertrauensbeziehungsrichtliniendatei mit dem folgenden Befehl im Terminal.

$ vim Demo_Policy.JSON

Fügen Sie im Editor die IAM -Richtlinie ein, die Sie der IAM -Rolle beifügen möchten.

[
"Version": "2012-10-17",
"Stellungnahme": [

"Effekt": "erlauben",
"Rektor":
"Service": "EC2.Amazonawen.com "
,
"Aktion": "STS: Annahme"

]
]

Speichern und beenden Sie den Herausgeber, nachdem Sie die IAM -Richtlinie kopiert haben, und beenden Sie den Herausgeber. Um die Richtlinie aus der Datei zu lesen, verwenden Sie die Katze Befehl.

$ cat

Jetzt können Sie endlich Ihre IAM -Rolle mit dem folgenden Befehl erstellen.

$ AWS IAM CREATE-ROLE-ROLE-NAME-Assume-Role-Policy-Dokument-Datei: //

Dieser Befehl erstellt die IAM -Rolle und verbindet die im JSON -Dokument definierte IAM -Richtlinie der Rolle.

Die IAM -Richtlinie, die der IAM -Rolle beigefügt ist, kann durch Verwendung des folgenden Befehls im Terminal geändert werden.

$ aws iam bat-rollenpolicy-Rollenname --Richtlinien-Arn

Verwenden Sie den folgenden Befehl im Terminal, um die Richtlinien für die IAM -Rolle aufzulisten, um den folgenden Befehl zu verwenden.

$ AWS IAM List-Attached-Rollen-Policies-Rollenname

Rolle mit dem Service beibringen

Nachdem Sie die IAM -Rolle erstellt haben, fügen Sie die neu erstellte IAM -Rolle dem AWS -Service bei. Hier werden wir die Rolle einer EC2 -Instanz verbinden.

Um eine Rolle einer EC2 -Instanz anzuhängen, müssen wir zunächst ein Instanzprofil über den folgenden CLI -Befehl erstellen.

$ aws iam create-Instance-Profil-Instanz-Profil-Name

Fügen Sie nun die Rolle dem Instanzprofil bei

$ aws iam add-to-instance-profile-Instanzprofile-name> Name<--role-name>Name<

Schließlich werden wir dieses Instanzprofil unserer EC2 -Instanz anschließen. Dafür brauchen wir den folgenden Befehl:

$ AWS EC2 Associate-IAM-Instance-Profil--instance-id --iam-instance-profile name =

Verwenden Sie den folgenden Befehl im Terminal, um IAM -Instanzprofil -Assoziationen aufzulisten.

$ aws EC2 beschreiben iaminstanzprofile-assoziationen

Abschluss

Die Verwaltung von IAM -Rollen ist eines der grundlegenden Konzepte in AWS Cloud. IAM -Rollen können verwendet werden, um den AWS -Service zu autorisieren, um in Ihrem Namen auf einen anderen AWS -Service zuzugreifen. Sie sind auch wichtig, um Ihre AWS -Ressourcen sicher zu halten, indem sie AWS -Dienste zuweisen, die sie benötigen. Diese Rollen können auch verwendet werden, damit IAM -Benutzer aus anderen AWS -Konten AWS -Ressourcen auf Ihrem AWS -Konto verwenden können. IAM -Rollen verwenden IAM -Richtlinien, um den AWS -Diensten, mit denen sie beigefügt sind. In diesem Blog werden Schritt für Schritt beschrieben.