+86 13541016684Mon. - Fri. 10:00-22:00

亚马逊AWS-IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别

亚马逊AWS-IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别

亚马逊AWS-IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别

在亚马逊AWS中经常需要使用IAM服务,即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。

什么是策略

策略可以理解为权限类型,AWS将不同的权限分门别类划分成了不同的策略项,以方便配置。

用户

用户不用过多的解释,这里就是AWS后台的登录用户。值得注意的是,在AWS后台注册后,会生成一个账户和默认的管理员用户,注意这两者的区别。之后还可以通过后台创建不同的用户,但都是创建在同一个账户下,账户ID是相同的,用户名不同。

用户组

用户组就是多个用户的集合。创建了用户组之后可以向其中添加多个用户。如果为用户组赋予了策略,则用户组织内所有的用户都拥有这些策略。

关于EC2的两个策略

我们来看看这两个关于EC2的策略:
AmazonEC2FullAccess
AmazonEC2ReadOnlyAccess

在控制台界面中:
2015080514355741

这两个策略中,AmazonEC2FullAccess很好理解,它是关于EC2服务的全访问授权,对当前账户EC2服务的所有操作都可以进行。

对于AmazonEC2ReadOnlyAccess呢。从字面上看,貌似是对EC2的只读授权,那所谓的ReadOnly,是在哪个层次上呢,是对开启的EC2服务器只能进行只读操作而不能进行写操作吗?

其实不是的。这里的ReadOnly,是指后台EC2服务界面的所有访问操作,都是只读的。也就是说,你可以查 看EC2的IP,可以看关于VPC的信息,可以查看目前系统中所有的安全组等;但涉及到对系统配置的改动操作,都是不被允许的。如你想添加VPC,或者对 服务器进行停止、重启、终止,或者想创建一个网络接口,都不可以。但如果你登录到EC2服务器中,进行文件的创建、删除操作都是可以的,后台策略控制不到 这个层次。

一般来说,设置访问策略可以这样:
1.创建用户
2.创建用户组
3.为用户组添加用户
4.为用户组添加策略