本文档将主要介绍使用AWS IAM进行权限划分和MFA(多因子认证)来进行登陆管理。
1. 登陆AWS China Portal
访问如下网址:
登录地址为: https://console.amazonaws.cn/console/home?region=cn-north-1
输入账户ID,用户名和密码
2. 创建IAM用户
选择安全&身份->IAM
在IAM 控制面板,点击“用户”,再点击“添加用户”
输入用户名;勾选“AWS 管理控制台访问”,输入登录密码,然后点击“下一步权限”
在分配权限界面,点击“直接附加现有策略”,在筛序条件的下拉框中选择“全部”,搜索框中输入“readonly”,在搜索的结果中勾选“ReadOnlyAccess”,然后点击“下一步审核”
在审核中查看,只读账户信息,最后点击“创建用户”
创建完成后就可以使用该账户登陆AWS控制台,只读的查看资源信息了。
3. 附加账单只读权限
选择步骤2中的只读账户
在分配权限界面,点击“直接附加现有策略”,在筛序条件的下拉框中选择“全部”,搜索框中输入“bill”,在搜索的结果中勾选“AWSBillingReadOnlyAccess”,然后点击“下一步审核”
在审核中查看,账单只读账户信息,最后点击“创建用户”
创建完成后就可以使用该账户登陆AWS控制台
4. 配置MFA移动端
点击 AWS虚拟 MFA 应用程序下载地址,跳转至AWS虚拟MFA下载地址界面,根据手机系统类型下载对应的应用程序
以安卓系统为例,点击“Android:Authy 双重身份验证”,进入下载界面。选择手机号的的地区,并输入手机号,点击“SUBUIT”
稍后手机就会收到一条,点击短信中地址的链接
下载完成后打开软件
5. 在IAM控制台为用户添加虚拟MFA设备
IAM 控制台,在导航窗格中,选择“用户”
在 用户名 列表中,点击需要启动 MFA 用户的名称
点击“安全证书”选项卡,然后选择 “已分配 MFA device ”旁的编辑图标
使用手机端Authy应用用程序扫描二维码,分别输入手机中2个验证码,最后点击“激活虚拟MFA”
完成后会提示关联成功
后续登陆,在输入账户ID、用户名和密码点击登陆后,就会出现需要输入MFA验证码