【 AWS 雲端資安 Inside out 】 基礎雲端資安觀念 part 3 - IAM 與 MFA 啟用 教學篇
-IAM User、role、IAM User Group

1.在 AWS Console 搜尋 IAM,右上角的 Region (區域)會變成 Global,代表 IAM 的規則是套用於您所建置的所有服務。

2.點選旁邊列表的 users

3.按 Add user

4.輸入 user 名稱,下面選擇 user 登入方式是要透過 access key/secret access key 或是用密碼方式登入,為了降低資安風險我們選擇前者

5.這裡有三個選項

(1)加入到群組 (Add user to Group)

(2)從另外一個user複製 permission 過來 (Copy permissions from existing user)

(3)直接加上已經存在的 Policy(Attach existing policy directly)

6.加上 tag (可加可不加)

7.檢查完資訊就按 Create user

8.完成後會顯示這組帳號的 access key/secret access key ,你也可以下載成csv檔,記得要小心保存

如何建立一個 IAM User Groups?
1.側邊選單選 User Groups

2.按 Create group

3.輸入 Group 名稱、選擇 user 加入 group、選擇要不要附上 policy

這樣就完成 IAM User 以及 User Group 的建立,我們再來看 role 以及 Policy 的建立。

如何建立 role?

1.側邊選單 role

2.按 Create role

3.這邊會看到四種選項
(1) AWS Service role: 服務承擔的角色,代表您在您的帳戶中執行操作。 當您設定某些 AWS 服務環境時,您必須定義要擔任的服務角色。這個服務角色
必須包括服務存取所需 AWS 資源所需的所有權限。
(2) Another AWS account: 其他帳號要來存取你帳號的資源的話你必須幫他建立 role,你可以選擇是否啟用 External ID 或是 MFA。
(3) Web Identity: 你可以選擇從帶有  OpenID Connect(OIDC) 的網站例如: Amazon、FB、Google ,成為一個 role 進入您的帳號進行動作。
(4) SAML 2.0 ferderation: 你可以透過綁定公司的 AD 成為一個 role 進入您的帳號進行動作。

4.選擇你要給這個 role 的 Policy

5.輸入 Tag、role 名稱按下 create role 就完成了

如何建立 Policy?
1.側邊選單 Policy

2.按 Create Policy

3.你可以透過選擇的方式或是直接寫 JSON 創建 Policy

4.輸入 Tag、role 名稱按下 create Policy 就完成了

請持續鎖定 Nextlink 架構師專欄,以獲得最新專業資訊喔!

若您有任何 AWS 需求,歡迎與我們聯繫!