Bootstrap

AWS初试:CloudWatch账单告警 和IAM

AWS刚刚开始学习,都是图形化界面。所以blog基本以截图为主。。。
建议看下以下这个视频作为预习

https://www.bilibili.com/video/BV1Je411x7NE

Cloudwatch的alarm有个billing选项,控制台会要求你选择Virginia 那个region

AWS初试:CloudWatch账单告警 和IAM
主要就是钱。。。
AWS初试:CloudWatch账单告警 和IAM

需要创造一个新的SNS topic
AWS初试:CloudWatch账单告警 和IAM

创建完毕之后是这个效果,一段时间之后会

AWS初试:CloudWatch账单告警 和IAM

记得在SNS部分confirm subscription
AWS初试:CloudWatch账单告警 和IAM
第二部分: IAM
Identity Access Management 就是做认证 + 授权 (Authentication 和Authorization)
Accounting 审计部分由CloudTrial负责。-->
IAM定义你可以访问的AWS资源,以及他们的访问方式。
IAM是免费服务,用户不需要支付任何费用。

我直接截取小茶的截图。

AWS初试:CloudWatch账单告警 和IAM

IAM可以统一管理所有账号

  • 通过Role安全的赋予AWS服务访问另外一个AWS服务的权限
  • Identity Federation:第三方账户,facebook,AD等
  • MFA
  • 和几乎所有的AWS服务都能集成

IAM 重点术语

  1. User ,代表一个终端用户。
    通常可以使用username/password 来做认证。
    还可以用Access Key,Secret Access Key,通过API SDK来登录
  2. Group,将用户放入同一个组里面,可以使用相同的policy和有相同的权限。
    为了方便管理
    一个用户可以属于不同的group
  3. Role: 角色可以分配给AWS服务,让AWS服务可以访问别的AWS服务。
    Role没有任何用户名密码
    Role比用户更加安全可靠,因为没有access key泄露的问题
    举例:赋予EC2一个role,让这个EC2可以访问某一部分S3
  4. Policy:定义具体访问权限
    一个json形式的数据格式
    具体执行的操作: effect,service,resource
    effect其实就是简单的allow/deny
    Service: EC2,S3 etc
    Resource: ARN,AWS Resource Name
    Resource的一个例子
    AWS初试:CloudWatch账单告警 和IAM

  5. Action:针对某个AWS的服务可以进行的操作。比如说S3,就可以getObject
    具体的可以在自己创建policy的时候看到
    AWS初试:CloudWatch账单告警 和IAM
    list 基本以describe 某个EC2状态或者参数为主
    read就是通过get 获取EC2 的某个状态
    Tag:直接看截图效果吧
    AWS初试:CloudWatch账单告警 和IAM
    Write:基本就是用http post的方式,更改或者配置某些参数
    Permission Management:继续看截图
    AWS初试:CloudWatch账单告警 和IAM

  6. Condition

AWS初试:CloudWatch账单告警 和IAM

总的来说,IAM对于交互式页面的访问是基于以下的模型。
AWS初试:CloudWatch账单告警 和IAM

而Role因为控制的是AWS service与service之间的访问。所以Devops在做开发的时候非常有用。

;