本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 向 IAM 用户授予 Lightsail 访问权限
作为[AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)或具有管理员权限的 AWS Identity and Access Management (IAM) 用户,您可以在自己的 AWS 账户中创建一个或多个 IAM 用户,并且可以将这些用户配置为对提供的服务的不同访问级别 AWS。
对于 Amazon Lightsail,你可能需要创建一个只能访问 Lightsail 服务的 IAM 用户。当有人加入你的团队,需要查看、创建、编辑或删除 Lightsail 资源,但不需要访问提供的其他服务时,你就会这样做。 AWS要对此进行配置,您必须先创建一个授予 Lightsail 访问权限的 IAM 策略,然后创建一个 IAM 群组,并将该策略附加到该群组。然后,您可以创建 IAM 用户并使其成为该群组的成员,这样他们就可以访问 Lightsail。
当有人离开你的团队时,你可以将该用户从 Lightsail 访问组中移除,以撤消他们对 Lightsail 的访问权限,例如,如果他们离开了你的团队但仍在你的公司工作。或者,您可以从 IAM 删除该用户,例如,他们离开您的公司,无需再次访问时。
**警告**
此场景需要 IAM 用户具有编程访问权限和长期凭证,这会带来安全风险。为帮助减轻这种风险,我们建议仅向这些用户提供执行任务所需的权限,并在不再需要这些用户时将其移除。必要时可以更新访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的[更新访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id-credentials-access-keys-update.html)。
**内容**
+ [为 Lightsail 访问创建一个 IAM 策略](#create-an-iam-policy-for-lightsail-access)
+ [为访问 Lightsail 创建一个 IAM 群组并附上 Lightsail 访问策略](#create-an-iam-group-for-lightsail-access)
+ [创建一个 IAM 用户并将该用户添加到 Lightsail 访问组](#create-an-iam-user-for-lightsail-access)
## 为 Lightsail 访问创建一个 IAM 策略
按照以下步骤创建用于 Lightsail 访问的 IAM 策略。有关更多信息,请参阅 IAM 文档中的[创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
1. 登录 [IAM 控制台](https://console.aws.amazon.com/iam/)。
1. 在左侧导航窗格中,选择**策略**。
1. 选择**创建策略**。
1. 在**创建策略**页面中,选择 **JSON** 选项卡。
![\[IAM 控制台中的 JSON 选项卡。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-iam-policy-json.png)
1. 突出显示文本框的内容,然后复制并粘贴以下策略配置文本。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:*"
],
"Resource": "*"
}
]
}
```
------
结果应该类似于以下示例:
![\[IAM 控制台中的 JSON 选项卡填充了 Lightsail 访问策略。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-iam-policy-json-added.png)
这允许访问所有 Lightsail 操作和资源。需要访问由提供的其他服务的操作,例如启用 VPC 对等互连 AWS、将 Lightsail 快照导出到 Amazon EC2 或使用 Lightsail 创建亚马逊 EC2 资源,则需要本策略中未包含的额外权限。有关更多信息,请参阅以下指南:
+ [设置亚马逊 VPC 对等互连以使用亚马逊 Lightsail 以外的 AWS 资源](lightsail-how-to-set-up-vpc-peering-with-aws-resources.md)
+ [将 Amazon Lightsail 快照导出到亚马逊 EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md)
+ [在 Lightsail 中根据导出的快照创建 Amazon EC2 实例](amazon-lightsail-creating-ec2-instances-from-exported-snapshots.md)
有关您可以授予的操作特定权限和资源特定权限的示例,请参阅 [Amazon](security_iam_resource-based-policy-examples.md) Lightsail 资源级权限策略示例。
1. 选择**查看策略**。
1. 在**查看策略**页面中,为策略命名。为它提供描述性名称;例如,`LightsailFullAccessPolicy`。
1. 添加描述,并查看策略设置。如果需要进行更改,请选择**上一步**来修改策略。
![\[IAM 控制台中的“查看策略”页面。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-iam-policy-review.png)
1. 在您确认策略设置正确后,选择**创建策略**。
现已创建策略并可将其添加到现有 IAM 组,也可以使用本指南的以下部分中的步骤创建新 IAM 组。
## 为访问 Lightsail 创建一个 IAM 群组并附上 Lightsail 访问策略
按照以下步骤创建用于访问 Lightsail 的 IAM 群组,然后附加在本指南上一节中创建的 Lightsail 访问策略。有关更多信息,请参阅 IAM 文档中的[创建 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html)和[将策略附加到 IAM 组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)。
1. 在 [IAM 控制台](https://console.aws.amazon.com/iam/)的左侧导航窗格中,选择**组**。
1. 选择 **Create New Group (创建新组)**。
1. 在**设置组名**页面中,为该组命名。为它提供描述性名称;例如,`LightsailFullAccessGroup`。
1. 在**附加策略**页面中,搜索您在本指南前面部分创建的 Lightsail 策略;例如。`LightsailFullAccessPolicy`
1. 在该策略旁边添加复选标记,然后选择**下一步**。
1. 查看组设置。如果需要进行更改,请选择**上一步**来修改组策略。
1. 在您确认组设置正确后,选择**创建组**。
该群组现已创建,添加到该群组的用户将有权访问 Lightsail 操作和资源。您可以将现有 IAM 用户添加到该组,也可以使用本指南的以下部分中的步骤创建新 IAM 用户。
## 创建一个 IAM 用户并将该用户添加到 Lightsail 访问组
按照以下步骤创建 IAM 用户并将该用户添加到 Lightsail 访问组。有关更多信息,请参阅 IAM 文档中的[在亚马逊云科技账户中创建 IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)和[在 IAM 组中添加和删除用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。
1. 在 [IAM 控制台](https://console.aws.amazon.com/iam/)的左侧导航窗格中,选择**用户**。
1. 选择**添加用户**。
1. 在该页面的 **Set user details (设置用户详细信息)** 部分中,为用户命名。
1. 在页面的 **“选择 AWS 访问类型**” 部分下,从以下选项中进行选择:
1. 选择 “**编程访问**”,为 AWS API、CLI、SDK 和其他开发工具启用访问密钥 ID 和私有访问密钥,这些工具可用于 Lightsail 操作和资源。有关更多信息,请参阅[配置为与 Lightsail 配合使用](lightsail-how-to-set-up-and-configure-aws-cli.md)。 AWS CLI
1. 选择**AWS 管理控制台访问权限**以启用允许用户登录 AWS 管理控制台的密码,从而登录Lightsail控制台。在选择此选项时,会显示以下密码选项:
1. 选择**自动生成的密码**可让 IAM 生成密码,或选择“自定义密码”来输入您自己的密码。
1. 选择 **Require password reset (需要密码重置)** 可让用户在下次登录时创建新密码(重置其密码)。
**注意**
如果您仅选择**编程访问**选项,则用户将无法登录控制台和 Lightsail AWS 控制台。
1. 选择**下一步: 权限**。
1. 在该页面的 “**设置权限**” 部分下,选择 “**将用户添加到群组**”,然后选择您在本指南前面部分创建的 Lightsail 访问组;例如,。`LightsailFullAccessGroup`
![\[IAM 控制台中的“将用户添加到组”。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-iam-user-set-permissions.png)
1. 选择**下一步: 标签**。
1. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅“标记 IAM 实体”。
1. 选择**下一步:审核**。
1. 查看用户设置。如果需要进行更改,请选择**上一步**来修改用户的组或策略。
1. 在您确认用户设置正确后,选择**创建用户**。
用户已创建,用户将有权访问 Lightsail。要撤消用户的 Lightsail 访问权限,请将该用户从 Lightsail 访问组中移除。有关更多信息,请参阅 IAM 文档中的[在 IAM 组中添加和删除用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。
1. 要获取用户的凭证,请选择以下选项:
1. 选择 D **ownload .csv** 下载包含您账户的用户名、密码、访问密钥 ID、私有访问密钥和 AWS 控制台登录链接的文件。
1. 选择 “**秘密访问密钥**” 下方**显示**,查看可用于以编程方式(使用 API AWS 、CLI、SDK 和其他开发工具)访问 Lightsail 的访问密钥。
**重要**
这是您查看或下载私有访问密钥的唯一机会,您必须先向用户提供这些信息,然后他们才能使用 AWS API。将用户的新访问密钥 ID 和秘密访问密钥保存在安全的地方。完成此步骤后,您再也无法访问这些秘密访问密钥。
1. 选择**密码**下的**显示**,可查看由 IAM 生成的用户密码。您应向用户提供密码,以便他们可以第一次登录。
1. 选择 “**发送电子邮件**”,向用户发送一封电子邮件,告知他们现在可以访问 Lightsail。
![\[确认已成功创建 IAM 用户。\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/amazon-lightsail-iam-user-successfully-created.png)