SRE文档1.创建普通管理员
这个账号是可以修改所有帐户的策略
为管理员创建组
- 登录 AWS Management Console 然后打开IAM控制台,网址为https://console.aws.amazon.com/iam/。
- 在导航窗格中,选择 Groups (组),然后选择 Create New Group (创建新组)。
- 对于组名,输入组的名称,例如
Administrators,然后选择 下一步。 - 在策略列表中,选中AdministratorAccess策略旁边的复选框。您可以使用 Filter (筛选) 菜单和 Search (搜索) 框来筛选策略列表。
- 选择 Next Step (下一步),然后选择 Create Group (创建组)。
您的新组列在 Group Name 下方。
要为自己创建IAM用户,请将其添加到管理员组并创建密码
- 在导航窗格中,选择 Users,然后选择 Add user。
- 在 User name(用户名) 框中,输入一个用户名。
- 选择编程访问权限和 AWS 管理控制台访问权限。
- 选择下一步: 权限。
- 选中 Administrators 组旁的复选框。然后选择 Next: Review。
- 选择 创建用户。
2.创建留底管理员
这个帐户是无法修改留底帐户的策略
2.1 打开iam
1.点击用户
2.创建用户
3.附加策略
创建
2.2 查看账号ARN
2.3 创建策略
进入IAM模块,进入左侧菜单点击策略(Policy),点击右侧创建策略按钮
- 修改
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdmin",
"Action": "iam:*",
"Effect": "Deny",
"Resource": "arn:aws:iam::xxx:user/xxx"
}
]
}{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdmin",
"Action": "iam:*",
"Effect": "Deny",
"Resource": "arn:aws:iam::xxx:user/xxx"
}
]
}- 下一步
- 创建名字
其他保持不变,继续下一步
直到创建成功
2.4 关联策略
把创建的deny_access_to_admin策略关联你需要的帐户下
1.设置密码
