📅  最后修改于: 2020-11-06 05:36:57             🧑  作者: Mango
创建IAM角色
为服务创建IAM角色
使用AWS管理控制台为服务创建角色。
- 在控制台的导航窗格中,单击角色,然后点击“创建角色”。单击“创建角色”按钮后,将显示以下屏幕。
- 选择要与角色一起使用的服务。
- 选择将权限附加到服务的托管策略。
- 在角色名称框中,输入描述服务角色的角色名称,然后单击“创建角色”。
使用CLI(命令行界面)为服务创建角色
- 使用控制台创建角色,您已经完成了许多步骤,但是使用CLI可以自己明确地执行每个步骤。您必须创建一个策略,并将权限策略分配给该角色。要使用AWS CLI为AWS服务创建角色,请使用以下命令:
- 创建角色:aws iam create-role
- 将权限策略附加到角色:aws iam put-role-policy
- 如果您将角色与实例(例如Amazon EC2实例)一起使用,则需要创建一个实例配置文件来存储角色。实例概要文件是角色的容器,但是实例概要文件只能包含一个角色。如果您使用AWS管理控制台创建角色,则已经为您创建了实例配置文件。如果使用CLI创建配置文件,则必须自己明确指定每个步骤。要使用CLI创建实例配置文件,请使用以下命令:
- 创建实例配置文件:aws iam create-instance-profile
- 将角色添加到实例配置文件:aws iam add-role-to-instance-profile
为IAM用户创建IAM角色
使用AWS管理控制台为IAM用户创建角色
- 在控制台的导航窗格中,单击角色,然后点击“创建角色”。单击“创建角色”按钮后,将显示以下屏幕。
- 指定您要授予对资源的访问权限的帐户ID,然后单击“下一个权限”按钮。
- 如果选择了选项“需要外部ID” ,则意味着它允许来自第三方的用户访问资源。您需要输入第三方管理员提供的外部ID。此条件会自动添加到允许用户承担角色的信任策略中。
- 如果选择了选项“要求MFA”,则该角色将角色限制为提供多因素身份验证的用户。
- 选择要附加到角色的策略。策略包含指定其可以执行的操作和可以访问的资源的权限。
使用CLI(命令行界面)为IAM用户创建角色
使用控制台创建角色时,许多步骤已经为您完成。对于CLI,必须明确指定每个步骤。
要使用CLI创建用于跨帐户访问的角色,请使用以下命令:
- 创建角色:aws iam create-role
- 将权限策略附加到角色:aws iam put-role-policy
为第三方身份提供商创建IAM角色(联邦)
通过Identity Federation,您可以访问可以使用第三方身份提供商登录的用户的AWS资源。要配置身份联合,您必须配置身份提供者,然后创建一个IAM角色,该角色确定联盟用户可以拥有的权限。
- Web Identity Federation: Web Identity Federation提供对通过Facebook,Google,Amazon或其他Open ID标准登录后登录的AWS资源的访问。要使用Web身份联合身份进行配置,必须首先创建和配置身份提供者,然后创建IAM角色,该角色确定联盟用户将具有的权限。
- 安全声明标记语言(SAML)2.0联合身份验证:基于SAML的联合身份验证提供对使用SAML的组织中AWS资源的访问。要配置基于SAML 2.0的联合身份,您必须首先创建和配置身份提供者,然后创建IAM角色,该角色确定组织中的联盟用户将拥有的权限。
使用AWS管理控制台为Web身份创建角色
- 通过以下网址打开IAM控制台:https://console.aws.amazon.com/iam/
- 在导航窗格中,单击“角色” ,然后单击“创建角色” 。
- 单击创建角色后,选择可信实体的类型,即Web身份
- 指定标识您的应用程序的客户端ID。
- 如果要为Amazon Cognity创建角色,请在身份池ID框中创建Amazon Cognito应用程序后指定身份池的ID。
- 如果要为单个Web身份提供者创建角色,请在向身份提供者注册应用程序时指定提供者提供的ID。
- (可选)单击“添加条件”以添加在应用程序的用户可以使用角色授予的权限之前必须满足的其他条件。
- 现在,将权限策略附加到角色,然后单击“下一步:标签” 。
使用AWS管理控制台为基于SAML的2.0联合身份创建角色
- 通过以下网址打开IAM控制台:https://console.aws.amazon.com/iam/
- 在控制台的导航窗格中,单击“角色” ,然后单击“创建角色”
- 单击“身份提供者访问权限”。
- 选择要为Grant Web单一登录(SSO)或Grant API访问权限创建的角色类型。
- 选择要为其创建角色的SAML提供程序。
- 如果要创建用于API访问的角色,请从属性列表中选择属性。然后在值框中,输入要包含在角色中的值。它限制身份提供者对其用户的角色访问,身份提供者的SAML身份验证响应包括您选择的属性。
- 如果要添加更多与属性相关的条件,请点击添加条件。
- 将权限策略附加到角色。
- 单击创建角色以完成角色创建过程。
使用AWS CLI为联合用户创建角色
要使用AWS CLI为联合用户创建角色,请使用以下命令:
创建角色:aws iam create-role
附加权限到策略:aws iam attach-role-policy或aws iam put-role-policy