AWS Lab EBS & IAM|弹性块存储&身份和访问管理

EBS-Amazon Elastic Block Store

Lab流程

1. 系统初始化一个实例
2. 创建一个volume链接到实例,创建文件系统并挂载,生成一个测试文件
3. 创建一个snapshot,选择目标为上一步的volume.此时会生成一个新的snapshot.
4. 删除测试文件
5. 生成新的volume,并选择snapshot,创建文件系统并挂载到新的目录.
6. 测试文件仍然存在

EBS卷其实就是一个aws的硬盘（虚拟硬盘驱动器）（SSD 1G-16T和HDD 500G-16T两种）,适合于数据库、文件系统或者访问块级存储的应用程序。有以下特点:

• 持久存储:独立于EC2使用
• 通用:初始EBS卷是未经过格式化的块设备,可以在任何操作系统使用
• 高性能:EBS卷等于或者优于本地EC2驱动器
• 高可用性:在可用区内具有内置冗余
• 弹性设计:
• 可改变尺寸:1GB-16TB
• 易于使用:可进行创建,附加,备份,还原,删除操作

IAM-AWS Identity and Access Management

Lab流程

1. 系统初始化实例以及实例化三个分组以及用户,分组分别为EC2-Admin,EC2-Support,S3-Support,其中EC2-Admin有Inline Policy.
2. 分别将三个用户分配到三个不同的组,然后以用户的身份登录https://[awsaccount].signin.aws.amazon.com/console
3. 检查各用户的权限

EC2-Admin-Policy

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:Describe*",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

要向用户、组、角色或资源分配权限，必须创建一项策略,策略的基本结构包括:

• Action(操作):针对AWS服务进行的API调用.任何没有明确允许的操作都将被拒绝
• Resource(资源):策略所涵盖的实体范围.用户不能访问任何没有明确授权的资源
• Effect(效果):允许或者拒绝.默认拒绝
• Request condition(条件)[可选]:必须具备哪些条件策略才会生效。例如，您可以只允许用户访问特定 S3 存储桶，条件为用户从特定 IP 范围连接或在登录时使用了多重身份验证
• Version（版本）
• Id
• Statement（声明）
• Sid
• Principal