亚马逊AWS-IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别
在亚马逊AWS中经常需要使用IAM服务,即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。
什么是策略
策略可以理解为权限类型,AWS将不同的权限分门别类划分成了不同的策略项,以方便配置。
用户
用户不用过多的解释,这里就是AWS后台的登录用户。值得注意的是,在AWS后台注册后,会生成一个账户和默认的管理员用户,注意这两者的区别。之后还可以通过后台创建不同的用户,但都是创建在同一个账户下,账户ID是相同的,用户名不同。
用户组
用户组就是多个用户的集合。创建了用户组之后可以向其中添加多个用户。如果为用户组赋予了策略,则用户组织内所有的用户都拥有这些策略。
关于EC2的两个策略
我们来看看这两个关于EC2的策略:
–AmazonEC2FullAccess
–AmazonEC2ReadOnlyAccess
这两个策略中,AmazonEC2FullAccess很好理解,它是关于EC2服务的全访问授权,对当前账户EC2服务的所有操作都可以进行。
对于AmazonEC2ReadOnlyAccess呢。从字面上看,貌似是对EC2的只读授权,那所谓的ReadOnly,是在哪个层次上呢,是对开启的EC2服务器只能进行只读操作而不能进行写操作吗?
其实不是的。这里的ReadOnly,是指后台EC2服务界面的所有访问操作,都是只读的。也就是说,你可以查 看EC2的IP,可以看关于VPC的信息,可以查看目前系统中所有的安全组等;但涉及到对系统配置的改动操作,都是不被允许的。如你想添加VPC,或者对 服务器进行停止、重启、终止,或者想创建一个网络接口,都不可以。但如果你登录到EC2服务器中,进行文件的创建、删除操作都是可以的,后台策略控制不到 这个层次。
一般来说,设置访问策略可以这样:
1.创建用户
2.创建用户组
3.为用户组添加用户
4.为用户组添加策略