选择帐户认证方法

选择是使用 IAM 用户还是联合帐户来访问 AWS。

开始之前

对于您选择的任何一种身份验证方法，用于 LSF 配置的用户角色必须至少具有以下 AWS 权限，才能将最小云突发授予 AWS 用户：

ec2:DescribeInstances
ec2:DescribeImages
ec2:DescribeKeyPairs
ec2:DescribeSecurityGroups
ec2:DescribeAvailabilityZones
ec2:RunInstances
ec2:TerminateInstances
ec2:StopInstances
ec2:StartInstances"

注: 某些高级配置需要其他策略。如果使用实例配置文件功能，则需要使用 iam:PassRole 。

关于本任务

从以下账户身份验证方法中选择一种访问 AWS 。

过程

创建 IAM 访问密钥和凭证文件。

要创建访问密钥和凭证文件，请登录到 AWS 管理控制台，并在 https://console.aws.amazon.com/iam/上打开 IAM 控制台。 IAM 允许用户安全地访问 AWS 资源，还允许共享访问 AWS 帐户。如果使用 Web GUI 为每个用户创建访问密钥，那么必须下载凭证。将生成 credentials.csv 文件。

提示: credentials.csv 文件中的访问密钥标识和私钥访问密钥在 aws_enable.sh 脚本中是必需的，或者可以直接添加到 LSF 凭证文件中。
将联合帐户用于 AWS。
此认证方法需要包装程序脚本。

联合用户是外部身份，这些身份被授予临时凭证，具有对 AWS 中资源的安全访问权，而无需创建 IAM 用户。用户在 AWS 外部进行认证 (例如，通过 Windows Active Directory)。 LSF 资源连接器通过用户定义的脚本与联合账户集成，该脚本需要特定格式的输出。

用户的角色必须在 AWS中附加所需的策略和许可权。

有关详细信息，请参阅以下亚马逊文档：
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html
  遵循使用联合帐户配置 AWS 访问权部分中的指示信息来创建脚本。脚本的位置需要设置为 AWS_FED_CREDENTIAL_SCRIPT 的值。 AWS资源连接器可以先通过 IAM 启用，然后再通过 awsprov_config.json 文件切换到联合账户。
- https://aws.amazon.com/identity/federation/.
注意： aws_enable.sh 脚本必须在本地 LSF 管理主机上执行。本地 management 主机是启动 AWS EC2 实例的机器。
使用管理主机实例配置文件凭据。

当 LSF 管理主机和资源连接器部署在具有适当实例配置文件的 AWS EC2 实例中时，资源连接器会使用实例配置文件的凭据访问 AWS API。

这种身份验证方法要求 awsprov_config.json 配置文件不包含 AWS_CREDENTIAL_FILE 和 AWS_CREDENTIAL_SCRIPT 参数。

有关使用 management 主机实例配置文件凭证的更多信息，请参阅 Amazon 文档：https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html.