某公司正在實施一個新的業務應用程序,該應用程序運行在兩個 Amazon EC2 實例上,并使用 Amazon S3存儲桶來存儲文檔。解決方案架構師需要確保 EC2 實例能夠訪問S3存儲桶。
創建一個授予訪問 S3 存儲桶權限的 IAM 角色。將該角色附加到 EC2 實例上。IAM 角色是一種可以附加到 AWS 資源(如 EC2 實例)的權限集合。通過為 EC2 實例附加一個具有 S3 存儲桶訪問權限的 IAM 角色,實例就可以使用該角色來訪問 S3 存儲桶。這種方法既安全又方便,因為不需要在實例上存儲訪問密鑰。
本次采用AWS Console界面完成作業。
注意:根據項目的具體情況,可以采用不同的實施方法。比如使用命令行(CLI)部署、代碼部署 (CloudFomation、Terraform等)、以及其它開發語言(SDK)完成作業。
步驟一:創建 IAM 角色
1 登錄 AWS Management Console 并打開IAM控制臺。
2. 在導航窗格中,選擇角色,然后選擇創建角色。
3. 對于選擇可信實體,在可信實體類型,選擇 AWS 服務。
4. 在 “用例” 下,選擇 Amazon EC2,然后選擇 “下一步”。
5. 對于添加權限,從策略列表中選中 Amazon S3 只讀訪問權限復選框,然后選擇下一步。
6. 輸入角色的名稱,然后選擇創建角色。
步驟二:將創建的角色連接到 EC2 實例
1. 打開對應 EC2 的詳細設置的頁面,確定沒有指定角色。
2. 選擇 “操作”、“安全”,然后選擇 “修改IAM角色”
3. 指定角色為創建的 IAM 角色。
1. 登錄到目標 EC2 實例,嘗試訪問目標 S3 存儲桶。結果應該是可以訪問。
2. 將創建的角色從目標 EC2 實例上分離,再次嘗試訪問目標 S3 存儲桶。結果應該是已經無法訪問目標 S3 存儲桶。