AWS 刚刚开始学习, 都是图形化界面. 所以 blog 基本以截图为主...
建议看下以下这个视频作为预习
https://www.bilibili.com/video/BV1Je411x7NE
Cloudwatch 的 alarm 有个 billing 选项, 控制台会要求你选择 Virginia 那个 region
主要就是钱...
需要创造一个新的 SNS topic
创建完毕之后是这个效果, 一段时间之后会
记得在 SNS 部分 confirm subscription
第二部分: IAM
Identity Access Management 就是做认证 + 授权 (Authentication 和 Authorization)
Accounting 审计部分由 CloudTrial 负责.-->
IAM 定义你可以访问的 AWS 资源, 以及他们的访问方式.
IAM 是免费服务, 用户不需要支付任何费用.
我直接截取小茶的截图.
IAM 可以统一管理所有账号
通过 Role 安全的赋予 AWS 服务访问另外一个 AWS 服务的权限
Identity Federation: 第三方账户, Facebook,AD 等
MFA
和几乎所有的 AWS 服务都能集成
IAM 重点术语
User , 代表一个终端用户.
通常可以使用 username/password 来做认证.
还可以用 Access Key,Secret Access Key, 通过 API SDK 来登录
Group, 将用户放入同一个组里面, 可以使用相同的 policy 和有相同的权限.
为了方便管理
一个用户可以属于不同的 group
Role: 角色可以分配给 AWS 服务, 让 AWS 服务可以访问别的 AWS 服务.
Role 没有任何用户名密码
Role 比用户更加安全可靠, 因为没有 access key 泄露的问题
举例: 赋予 EC2 一个 role, 让这个 EC2 可以访问某一部分 S3
Policy: 定义具体访问权限
一个 JSON 形式的数据格式
具体执行的操作: effect,service,resource
effect 其实就是简单的 allow/deny
- Service: EC2,S3 etc
- Resource: ARN,AWS Resource Name
Resource 的一个例子
Action: 针对某个 AWS 的服务可以进行的操作. 比如说 S3, 就可以 getObject
具体的可以在自己创建 policy 的时候看到
list 基本以 describe 某个 EC2 状态或者参数为主
read 就是通过 get 获取 EC2 的某个状态
Tag: 直接看截图效果吧
Write: 基本就是用 http post 的方式, 更改或者配置某些参数
Permission Management: 继续看截图
Condition
总的来说, IAM 对于交互式页面的访问是基于以下的模型.
而 Role 因为控制的是 AWS service 与 service 之间的访问. 所以 Devops 在做开发的时候非常有用.
来源: http://www.bubuko.com/infodetail-3602436.html