EC2安全组与IAM组？

Question

对于EC2机器,IAM Group和Security group之间有什么关系？

例如,以下ec2机器具有安全组zfei_profile,但在IAM组中没有这样的东西.应该使用什么"访问密钥ID"(及其相应的密钥访问密钥)来访问本机？

Answer 1

安全组和IAM组之间没有关系,它们彼此无关.

安全组

安全组就像是EC2实例的防火墙.他们决定:

(a)哪些计算机可以连接到您的EC2实例,以及(b)其他计算机可以连接的端口

例如,他们说世界可以连接到您的http端口,或者只有您的本地计算机可以通过SSH连接到EC2实例.

安全组没有说明哪些人可以连接到您的EC2实例.

IAM组

IAM组是一种对IAM用户和IAM角色进行分组的方法.授予IAM组的权限将传递给其组成员(用户和角色).

授予IAM组(或IAM用户或IAM角色)的IAM权限确定可以使用AWS CLI或任何许多AWS开发工具包执行哪些AWS API命令.

在屏幕截图中,您的EC2实例没有为其分配IAM角色(由"IAM角色"旁边的 - 表示),因此没有权限应用于您的EC2实例以便能够执行任何AWS命令.如果要在EC2实例上执行AWS命令,则必须使用AWS访问密钥ID和AWS密钥来发出这些命令(请参阅下文).

IAM组,用户和角色与访问EC2实例无关.

访问密钥ID和秘密访问密钥

它们与AWS CLI和AWS开发工具包一起使用,以向AWS API发出命令.每个访问密钥ID属于特定的IAM用户.

这些与访问EC2实例无关.

密钥对名称

现在我们将了解访问EC2实例的实际操作.

每个EC2实例都分配了一个密钥对名称.此密钥对名称确定您需要使用哪个私钥来访问您的EC2实例.

创建密钥对名称后,您将下载一个非常重要的.pem文件.必须使用该.pem文件来访问您的EC2实例.当您SSH到EC2实例时,您将使用该.pem文件作为授权.

如果您没有此文件,则无法访问EC2实例.

如果.pem文件丢失,则无法获取该文件的新副本.

有关密钥对名称的更多信息,请访问:

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

本文档还介绍了在丢失.pem文件时访问EC2实例的方法.

Answer 2

用简单的话简要介绍了 AWS IAM 组和 AWS 安全组这两个术语：

安全组：充当虚拟防火墙，控制 EC2 实例的流量 - 即确定特定协议/协议上的所有 IP 地址可以访问 AWS 实例。

IAM 组：授权访问 Amazon 资源 - 即确定您的 AWS 账户中的用户可以访问哪些所有资源。