AWS - IAM 的管理（上）

创建AWS的账号之后，用户就可以通过这个email账号和密码登陆了。不过这个主账号的权限实在是太大了，从管理和安全的角度来说我们都需要限制不同用户的访问权限，这个可以通过IAM来实现。即使是管理员本身，平常也应该尽量避免直接使用主账号，而使用具有管理权限的IAM账号。

豆子小结了一下3个常用的知识点：

1. 创建基本的账号和组；

2. MFA绑定账号

3. 自定义Role（角色）

首先我们来看看如何创建一个基本的IAM 组和 账号

首先用主账号登陆，然后点开IAM的管理界面，我们可以先创建一个管理员组

名字就叫administrators好了

默认的3个模板， Administrator access 模板可以允许访问除了账单系统以外的所有服务和资源；Power User 可以访问除了账单系统和用户系统之外的服务和资源；Read Only 就只有只读服务了。这里我们选择第一个模板

组就创建好了

接下来，我们创建一个新用户，名字就叫做Yuan， 注意下面那个access key的选项主要是用来生成验证密码了以便用户能够远程的访问API接口（具体使用可以参加前一篇关于如何在windows下使用命令行的博文）。如果只打算使用图形界面，这个是可有可无的。

然后把yuan加入administrators 组，yuan就自动获取了管理权限。

别忘记设置用户的密码

这样一个基本的用户组和管理员就设定好了。

接下来我们看看如何进一步加强安全性，我们可以给用户绑定MFA验证。

点击进入配置，一般方便使用，可以使用Virtual MFA device。我们可以安装Google authenticator 到iphone, android 手机或者PC上面，每次登陆的时候除了用户名和密码，还需要输入authenticator提供的验证码

点击Countinue之后会出现一个巨大的二维码

然后我在我的iphone上下载安装了goolge authenticator (左下角的白***标）

打开之后

选择Scan Barcode, 扫描二维码

会自动绑定Yuan的账号，并实时的生成验证码，该验证码每30秒会变化一次。

连续两次输入验证码。

绑定就成功了。

最后，别忘了配置用户登陆的URL。

浏览器里输入以上https://beanxyz.signin.aws.amazon.com/console

然后输入username， password和 MFA code （手机程序）,就可以登陆了

登陆以后，右上角可以看见当前登陆名

下一篇豆子来试试看在IAM里面如何自定义角色