AWS IAM 创建与使用完整教程

🚀 AWS IAM 创建与使用完整教程

基于：

AWS Identity and Access Management (IAM)

✅ 一、IAM 是什么？

IAM 用来控制：

• 谁可以登录 AWS

• 谁可以访问什么资源

• 谁可以执行什么操作

🔵 二、IAM 创建流程（实战步骤）

我们分 4 个核心步骤：

Step 1 → 创建用户 Step 2 → 创建权限策略 Step 3 → 绑定权限 Step 4 → 测试权限

✅ Step 1：创建 IAM User

进入 AWS Console

1. 登录 AWS

2. 搜索 IAM

3. 点击 Users

4. 点击 "Create user"

配置用户

🔹 设置用户名

例如：

dev-user

🔹 选择访问方式

选择：

✅ Password (Console Login)
或
✅ Access Key (Programmatic Access)

如果是开发人员 → 选择密码
如果是应用程序 → 选择 Access Key

点击 Next

✅ Step 2：给用户分配权限

AWS 会让你选择：

• Add user to group

• Attach policies directly

🔵 推荐方式：创建 Group

创建一个 Group

例如：

DevGroup

然后：

• 给 Group 绑定权限

• 把 User 加进 Group

👉 这样管理更方便

✅ Step 3：创建 IAM Policy（自定义权限）

进入：

IAM → Policies → Create Policy

选择 JSON 模式

输入例如：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::my-bucket/*" } ] }

解释

意思：

👉 只允许访问 my-bucket
👉 只能上传和下载文件

不能删除

点击 Create

✅ Step 4：把 Policy 绑定到 Group

1. 进入 Group

2. Attach Policy

3. 选择刚刚创建的 Policy

4. Save

✅ Step 5：把 User 加入 Group

1. 进入 Users

2. 选择 User

3. Add to Group

4. 选择 DevGroup

完成 ✅

🔥 三、测试权限

如果是 Console 用户

用：

https://console.aws.amazon.com

登录测试

如果是 Programmatic Access

使用：

aws configure

输入：

• Access Key

• Secret Key

• Region

然后测试：

aws s3 ls

✅ 四、真实项目场景（Spring Boot）

假设：

• 你的 Spring Boot 运行在 EKS

• 需要访问 S3

最佳实践

❌ 不要使用 Access Key
✅ 使用 IAM Role

做法

1. 创建 IAM Role

2. 选择 Trust Relationship

3. 允许 EKS 或 EC2 AssumeRole

4. 绑定 S3 Policy

然后：

• 把 Role 绑定到 EKS ServiceAccount

Spring Boot 代码：

AmazonS3 s3 = AmazonS3ClientBuilder.defaultClient();

SDK 自动读取 Role 权限

🎯 五、IAM 权限结构总结

IAM 结构是：

User / Role ↓ Attach Policy ↓ Permission Granted

或者：

User → Group → Policy → Resource

🚀 六、生产环境最佳实践

✔ 使用 Role 不使用 Access Key
✔ 使用最小权限原则
✔ 不要给 AdministratorAccess
✔ 使用 Policy 精确控制
✔ 开启 MFA