个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
EC2 计算机的 IAM 组和安全组之间有什么关系?
例如,以下 ec2 机器有安全组 zfei_profile,但 IAM 组中没有这样的东西。应使用什么“访问 key ID”(及其相应的 secret 访问 key )来访问 native ? 
最佳答案
安全组和 IAM 组之间没有关系,彼此没有任何关系。
安全组就像 EC2 实例的防火墙。他们确定:
(a) 哪些计算机可以连接到您的 EC2 实例,以及(b) 其他计算机可以连接哪些端口
例如,他们说世界可以连接到您的 http 端口,或者只有您的本地计算机可以通过 SSH 连接到 EC2 实例。
安全组没有说明哪些人员可以连接到您的 EC2 实例。
IAM 组是一种对 IAM 用户和 IAM 角色进行分组的方式。授予 IAM 组的权限将传递给其组成员(用户和角色)。
授予 IAM 组(或 IAM 用户或 IAM 角色)的 IAM 权限决定可以使用 AWS CLI 或众多 AWS 开发工具包执行哪些 AWS API 命令。
在您的屏幕截图中,您的 EC2 实例没有分配 IAM 角色(由“IAM 角色”旁边的 - 表示),因此没有应用到您的 EC2 实例的权限来执行任何 AWS 命令。如果您想在 EC2 实例上执行 AWS 命令,则必须使用 AWS 访问 key ID 和 AWS key 来发出这些命令(见下文)。
IAM 组、用户和角色与访问您的 EC2 实例无关。
它们与 AWS CLI 和 AWS 开发工具包一起使用,向 AWS API 发出命令。每个访问 key ID 都属于一个特定的 IAM 用户。
这些与访问您的 EC2 实例无关。
现在我们将了解与访问 EC2 实例实际相关的内容。
每个 EC2 实例都分配有一个 key 对名称。此 key 对名称决定您需要使用哪个私钥来访问您的 EC2 实例。
创建 key 对名称后,您将下载一个非常重要的 .pem 文件。该 .pem 文件必须用于访问您的 EC2 实例。当您通过 SSH 访问 EC2 实例时,您可以使用该 .pem 文件作为授权。
如果您没有此文件,则无法访问 EC2 实例。
如果 .pem 文件丢失,您将无法获取该文件的新副本。
有关 key 对名称的更多信息可以在此处找到:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html
本文档还介绍了在您丢失 .pem 文件时访问 EC2 实例的方法。
关于amazon-web-services - EC2 安全组与 IAM 组?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32164706/
25
4
0
我正在尝试对人们可以启动的实例类型设置一些限制。我有以下政策 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
我是 AWS 和 IAM 的新手,并试图了解角色和信任关系。 我完全理解为什么要使用角色,如何创建它们以及它们的用例。 我不明白的是信任关系步骤。在我见过的几乎所有情况下,它都是一对一的关系。 EC2
我创建了一个名为 ab-role 的 IAM 角色。此角色的默认路径是/。 我想将路径更改为/service-role/之类的内容。如何更改 IAM 角色的根路径。 最佳答案 我不相信你可以“改变”现
有时,我需要访问多个 AWS 资源,我可以通过单独的 IAM 角色单独访问这些资源。如果我需要一起使用这些资源,我目前必须找出一个非本地连接器。 如果我可以同时访问这些资源,有时我可以使用 AWS 连
我正在关注 StarCluster configuration instructions我想创建一个新用户供 StarCluster 使用。我的问题是 StarCluster 运行所需的最小 IAM
本页https://www.terraform.io/docs/providers/aws/r/iam_role.html提到: NOTE: This assume_role_policy is ve
我正在尝试做的(继续我之前提出的问题:How can I filter AWS Instances by IAM role in powershell and get the private ip a
我们目前正在使用 G Suite 作为我们的 AWS SAML 访问的 IDP,它在少数账户中承担一个角色,让我们的 G Suite 用户能够访问某些 AWS 资源。每个帐户都有一个名称相似的角色,G
地形版本 Terraform v0.7.8 Terraform v0.7.11 受影响的资源 aws_iam_user Terraform 配置文件 我正在尝试使用列表来管理 IAM 用户: vari
我们有多个团队共享一个公共(public) AWS 生产账户。我们希望每个团队都有一个自己的 IAM 角色,使他们能够创建几乎所有类型的资源 (AdministratorAccess)。但是为了分开团
我们希望我们的开发人员能够创建可以部署其服务的代码管道。这意味着他们需要能够为代码管道步骤创建 IAM 角色。 这意味着我们需要为开发人员提供 IAM 功能。有没有办法限制这种情况,使他们可以创建的
问题 lambda 函数的 IAM 角色是否需要 IAM 权限才能调用自身? 背景 阅读 Tutorial: Process New Items with DynamoDB Streams and L
我有一个具有 s3 只读权限的 AWS 角色。我已经为 AWS 用户配置了 aws cli。所以我想使用同一个用户在 aws cli 中浏览 s3 文件。我所做的是为角色添加了 root 用户的信任关
根据AWS官方documentation ,IAM 角色也可以附加到 IAM 用户,而不仅仅是服务。 将 IAM 角色分配给 IAM 用户的有效用例是什么? 直接向用户授予(允许/拒绝)IAM 策略是
我的开发人员有一些管理帐户,他们应该能够管理所有 aws 资源,但不应该能够管理用户/root 属性。因此,我通过以下策略限制了对 IAM 的访问: { "Version": "2012-10-1
IAM 角色和 IAM 用户有什么区别? IAM FAQ有一个条目解释它,但它是模糊的,不是很清楚: An IAM user has permanent long-term credentials a
我正在使用云形成创建 IAM 用户,但出现以下错误: “API:iam:CreateUser 用户:arn:aws:sts::11111111111:assumed-role/MyCloudForma
我尝试更改云形成中的 iam 组名称,并且创建了新组名称,但旧组名称没有被删除。这是预期的吗?我应该手动删除这些吗?看起来它应该自动摆脱旧的。检查 aws 控制台中的堆栈信息表明一切已成功完成。 谢谢
我有一个问题, 我使用elastic beanstalk部署python django 当eb init时,我使用根访问 key ID和 secret 访问 key 来创建实例 最近我读了有关 IAM
我正在尝试部署一个 AWS Lambda 函数,该函数在将 AVRO 文件写入现有 S3 存储桶时触发。 我的 serverless.yml配置如下: service: braze-lambdas p
我是一名优秀的程序员,十分优秀!