這一節繼續學習如何使用PowerShell來管理IAM的基本功能，主要包括user，group，role和policy的創建和配置。

創建組

New-IAMGroup??-GroupName?"powerUsers"

創建新用戶

New-IAMUser?-UserName?"myNewUser"

把用戶加入組中

Add-IAMUserToGroup?-UserName?myNewUser?-GroupName?powerUsers

確認一下成功

接下來是重頭戲，給用戶或者組分配權限。權限的分配是通過policy來實現的，AWS里面定義policy都是根據Json格式來實現的，具體的語法結構參考

#Policy?element

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Version

舉個例子，允許該用戶訪問除IAM之外的所有服務，可以這么定義

$policyDoc?=?@" { "Version":?"2012-10-17", "Statement":?[ { "Effect":?"Allow", "NotAction":?"iam:*", "Resource":?"*" } ] } "@ Write-IAMUserPolicy?-UserName?myNewUser?-PolicyName?"PowerUserAccess-myNewUser-201211201605"?-PolicyDocument?$policyDoc

查看一下

get-iamuserpolicy?-UserName?mynewuser?-PolicyName?"PowerUserAccess-myNewUser-201211201605"

成功配置policy

別忘了給用戶設置密碼和安全碼

New-IAMLoginProfile?-UserName?myNewUser?-Password?"&!123!&"

New-IAMAccessKey?-UserName?myNewUser

?

最后，我們來看看如何配置IAMRole。

比如說，我打算配置一個IAMRole，允許EC2的實例能夠有權限訪問S3存儲的資料。

#IAM?Role $policy=@" {"Version":?"2012-10-17","Statement":?[{"Effect":?"Allow","Principal":?{"Service":?"ec2.amazonaws.com"},"Action":?"sts:AssumeRole"}] } "@ new-iamrole?-RoleName?"newec2-s31"?-AssumeRolePolicyDocument?$policy

執行之后，可以看見trust relationship已經配置了

下一步需要指定EC2可以訪問的資源，這里指定所有的S3資源

$policy2?=?@" { "Version":?"2012-10-17", "Statement":?[{"Effect":?"Allow","NotAction":?"s3:*","Resource":?"*"} ] } "@Write-IAMRolePolicy?-PolicyDocument?$policy2?-RoleName?"newec2-s31"?-PolicyName?"allows3"

執行之后可以看見已經配置好了

下一節來看看如何用PowerShell配置高可用的RDS數據庫。

總結

以上是生活随笔為你收集整理的Powershell AWS 自动化管理 (6) - IAM的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。