這一節(jié)繼續(xù)學(xué)習(xí)如何使用PowerShell來管理IAM的基本功能，主要包括user，group，role和policy的創(chuàng)建和配置。

創(chuàng)建組

New-IAMGroup??-GroupName?"powerUsers"

創(chuàng)建新用戶

New-IAMUser?-UserName?"myNewUser"

把用戶加入組中

Add-IAMUserToGroup?-UserName?myNewUser?-GroupName?powerUsers

確認一下成功

接下來是重頭戲，給用戶或者組分配權(quán)限。權(quán)限的分配是通過policy來實現(xiàn)的，AWS里面定義policy都是根據(jù)Json格式來實現(xiàn)的，具體的語法結(jié)構(gòu)參考

#Policy?element

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Version

舉個例子，允許該用戶訪問除IAM之外的所有服務(wù)，可以這么定義

$policyDoc?=?@" { "Version":?"2012-10-17", "Statement":?[ { "Effect":?"Allow", "NotAction":?"iam:*", "Resource":?"*" } ] } "@ Write-IAMUserPolicy?-UserName?myNewUser?-PolicyName?"PowerUserAccess-myNewUser-201211201605"?-PolicyDocument?$policyDoc

查看一下

get-iamuserpolicy?-UserName?mynewuser?-PolicyName?"PowerUserAccess-myNewUser-201211201605"

成功配置policy

別忘了給用戶設(shè)置密碼和安全碼

New-IAMLoginProfile?-UserName?myNewUser?-Password?"&!123!&"

New-IAMAccessKey?-UserName?myNewUser

?

最后，我們來看看如何配置IAMRole。

比如說，我打算配置一個IAMRole，允許EC2的實例能夠有權(quán)限訪問S3存儲的資料。

#IAM?Role $policy=@" {"Version":?"2012-10-17","Statement":?[{"Effect":?"Allow","Principal":?{"Service":?"ec2.amazonaws.com"},"Action":?"sts:AssumeRole"}] } "@ new-iamrole?-RoleName?"newec2-s31"?-AssumeRolePolicyDocument?$policy

執(zhí)行之后，可以看見trust relationship已經(jīng)配置了

下一步需要指定EC2可以訪問的資源，這里指定所有的S3資源

$policy2?=?@" { "Version":?"2012-10-17", "Statement":?[{"Effect":?"Allow","NotAction":?"s3:*","Resource":?"*"} ] } "@Write-IAMRolePolicy?-PolicyDocument?$policy2?-RoleName?"newec2-s31"?-PolicyName?"allows3"

執(zhí)行之后可以看見已經(jīng)配置好了

下一節(jié)來看看如何用PowerShell配置高可用的RDS數(shù)據(jù)庫。

總結(jié)

以上是生活随笔為你收集整理的Powershell AWS 自动化管理 (6) - IAM的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。