文章目录
- 1、新版考试指南
- 2、创建一个AWS账号
- 3、企业的多账户策略
- 4、身份账户体系结构
- 5、创建跨账户IAM角色访问
- 6、AWS Organizations
- 6.1、添加组织策略
- 6.2、 将策略附加到成员账户
1、新版考试指南
2、创建一个AWS账号
地址:https://aws.amazon.com/cn/
1、输入电子邮件和账户名称,点击【验证电子邮件地址】
2、从邮件中获取验证码,进行验证。
3、根据要求创建密码。
4、填写相关注册信息。
5、填写卡号相关信息 。
6、注册成功,点击【转到AWS管理控制台】
7、用注册的账号密码进行登录
8、登录成功,显示控制台主页。
3、企业的多账户策略
多账户体系结构:提供了最大数量的资源和足够的安全隔离。
4、身份账户体系结构
5、创建跨账户IAM角色访问
1、身份账户中创建一个IAM用户,名为zhangsan
(后续其他按步骤均点击【下一步】)
2、在生产环境账户中,创建一个跨账户角色,名为CA-TEST,并为此角色分配在此账户下S3存储桶的完全访问权限。
3、角色创建完成后,可以在角色列表中找到【CA-TEST】,选中进入。
4、生产账户中配置允许用户zhangsan切换到生产环境账户ID的CA-TEST角色。
进入身份账户的IAM,
5、测试
复制生产环境角色的切换角色链接,到身份账户所在的浏览器中打开,
此时,身份账户的zhangsan用户已经登录到了生产环境账户,且已经切换为CA-TEST角色。测试是否能正常访问S3。
6、AWS Organizations
1、主账户中创建组织
默认账户作为主账户(即当前的aws账户)。
点击右上角的【添加AWS账户】,可以邀请现有账户或创建新账户。
点击【邀请】
6.1、添加组织策略
添加策略
成功添加
6.2、 将策略附加到成员账户
切换到成员账户浏览器,测试是否可以访问S3。
通过整合账单和策略控制功能,为组织带来帮助。
通过AWS组织的服务控制策略为企业多账户环境提供安全保障。比如创建策略内容为 禁止所有成员账户禁用CloudTrail 服务,将所以成员账户的CloudTrail操作日志都集中存储至中央S3存储桶,集中存储和分析账户的操作日志。