亚马逊云助手用户绑定指南_亚马逊云助手微信小程序

亚马逊云科技中国峰会 | 生成式 AI 引领行业变革，5 月 29-30 日｜上海世博中心 | 立即报名 »

随时随地管理亚马逊云资源

即刻使用微信扫码！现在就来学习使用“亚马逊云助手”小程序
在您手机上，操作服务工单、跟踪服务费用、监控告警信息

亚马逊云助手用户绑定指南

亚马逊云助手是亚马逊云计算官方开发的移动应用，以便于用户随时随地获取关键的云计算信息。亚马逊云助手现在包括以下模块:

免密码登录。绑定微信号和 IAM Role 以后，您可以在微信小程序中免密码登录亚马逊云计算账户，您的登录过程将由 Amazon Cognito 负责，绝无密码泄露隐患。
随时检查您在宁夏区的（cn-northwest-1）的费用明细。
接收 Amazon CloudWatch 发送的服务告警信息。
跟踪客户支持案例（support case）状态。

我们将在今后不断丰富小程序的功能，请关注亚马逊云计算公众号获得最新信息。

您可以通过微信一键登录亚马逊云助手，无需输入亚马逊云科技云服务账户名和密码。请按照以下步骤完成联合登录设置，这是个一次性的操作，但是包括多个步骤。

名词解释

1. 微信用户：亚马逊云助手小程序的用户（您本人）

2. IT 管理员：我们需要企业 IT 管理员的协助完成联合登录设置，如果您的登录用户拥有 IAM 管理权限，那么您本人就是 IT 管理员。

主题

创建亚马逊云助手的权限策略（Policy）
创建亚马逊云助手的 IAM 角色（IAM Role）
绑定微信用户

亚马逊云科技中国峰会

与行业内的顶尖技术实践者一起，共赴生成式 AI 技术盛宴！

5 月 29-30 日｜上海世博中心

抢占免费席位

操作步骤

1. 创建亚马逊云助手的权限策略（Policy）

首先， IT 管理员需要创建一个权限策略，以赋予亚马逊云助手访问企业 IAM 账户（IAM Account）下亚马逊云科技云服务的权限。本操作对于每一个 IAM Account 只需要执行一次，如果您的 IAM Account 下已拥有亚马逊云助手所需的权限策略，请跳过此步骤。但是如果您的企业希望细分管理权限，也可以创建多个策略。
1. 进入策略管理界面（请复制链接至浏览器访问）
https://console.amazonaws.cn/iamv2/home#/policies

2. 点击创建策略（Create Policy）

3. 点击标签 JSON，使用亚马逊云助手的预定义权限策略覆盖原有内容。预定义策略包括了亚马逊云助手所需的所有权限，IT 管理员可以修改此策略以进一步限制微信用户的权限。例如：删除 "ce:GetCostAndUsage"和"ce:GetCostForecast" 后，微信用户将无法查询费用报表。
```
{
    "Version":"2012-10-17",
    "Statement": [
        {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
           "support:DescribeCommunications",
           "support:AddCommunicationToCase",
            "support:ResolveCase",
            "support:DescribeCases",
           "cloudwatch:DescribeAlarms",
            "ce:GetCostAndUsage",
           "cloudwatch:GetMetricStatistics",
            "ce:GetCostForecast"
            ],
        "Resource": "*"
        }
    ]
}
```
4. 点击下一步：标签（Next: Tags）

5. 点击下一步：审核（Next: Review)

6. 在名称（Name）栏内，给新建的 Policy 起一个名字，点击创建策略（Create Policy）。在此页面您可以看到亚马逊云助手将被赋予的权限

2. 创建亚马逊云助手的 IAM 角色（Role）

创建 IAM 策略后，IT 管理员还需要创建一个用于亚马逊云助手小程序的 IAM Role。本操作对于每一个 IAM Account 只需要执行一次，如果您的 IAM Account 下已拥有亚马逊云助手所需的 IAM Role，请跳过此步骤。但是如果您的企业拥有超过 50 个亚马逊云助手用户，则需要创建多个 IAM Role。
1. 进入 IAM Role 管理界面（请复制链接至浏览器访问）
https://console.amazonaws.cn/iamv2/home#/roles

2. 点击创建角色（Create Role）
3. 选择可信实体类型（Trust entity type）为自定义信任策略（Custom trust policy），并使用文本框中亚马逊云助手的预定义信任策略覆盖原有内容。亚马逊云助手使用 Amazon Cognito 提供的身份服务，身份池信息如下所示：
- Identity Provider URL: cognito-identity.amazonaws.com
- Identity Pool ID: cn-north-1:72977485-3f04-4b8c-b719-3a119663812e
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated":"cognito-identity.amazonaws.com"
      },
      "Action":"sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
         "cognito-identity.amazonaws.com:aud": "cn-north-1:72977485-3f04-4b8c-b719-3a119663812e"
        },
        "ForAnyValue:StringEquals": {
         "cognito-identity.amazonaws.com:amr": "WeChat"
        },
        "ForAnyValue:StringLike": {
         "cognito-identity.amazonaws.com:amr": [
          ]
        }
      }
    }
  ]
}
```
4. 点击下一步（Next）, 进入添加权限页面（Add permissions）

5. 选择刚才生成的权限策略，点击下一步（Next）

6. 在角色名称栏（Role name）中，给角色起一个名字，点击创建角色（Create role）

7. （可选）记录 IAM Role ARN

a. 进入IAM Role管理界面（请复制链接至浏览器访问）
https://console.amazonaws.cn/iamv2/home#/roles

b. 点击刚才创建的角色，进入IAM Role详细信息页面

c. 将IAM Role和IAM Role ARN记录到内部系统中，您将来需要它用于绑定微信用户

3. 绑定微信用户

我们需要微信用户和 IT 管理员的共同操作来绑定微信用户和 IAM Role。
1. 微信用户获取联合登录用户代码

a. 在亚马逊云助手小程序的用户登录页，点击下方 “登录其它亚马逊云用户”，进入设置联合登录页面

b. 记录联合登录用户代码。联合登录用户代码是亚马逊云助手为您生成的一个 8 位大写字符串

c. 将您的联合登录用户代码，申请管理的 IAM 账户和管理权限发送给 IT 管理员申请绑定

2. IT 管理员绑定微信用户

a. 根据用户申请在企业信息系统获取相应的 IAM Role

b. 进入 IAM Role 管理界面（请复制链接至浏览器访问）
https://console.amazonaws.cn/iamv2/home#/roles

c. 点击与 IAM Role ARN 对应的 IAM Role，进入角色详细信息页面

d. 点击信任关系（Trust relationships）标签页，点击编辑信任策略（Edit trust policy）

e. 将微信用户的联合登录代码加入到 "cognito-identity.amazonaws.com:amr" 字段中，在输入联合登录代码时，请注意在联合登录代码前添加 “*:”。在下面这个例子里，我们绑定了两个微信用户，他们的联合登录代码分别为 "ABCDEFGH"和"AABBCCDD"。注意：每一个 IAM Role 可以绑定最多 50 个微信用户，如果您的企业有超过 50 个亚马逊云助手小程序用户，则需要建立多个 IAM Role
```
{

    "Version":"2012-10-17",

    "Statement": [

        {

            "Effect":"Allow",

            "Principal": {

                "Federated":"cognito-identity.amazonaws.com"

            },

            "Action":"sts:AssumeRoleWithWebIdentity",

            "Condition": {

                "StringEquals": {

                   "cognito-identity.amazonaws.com:aud":"cn-north-1:72977485-3f04-4b8c-b719-3a119663812e"

                },

               "ForAnyValue:StringEquals": {

                   "cognito-identity.amazonaws.com:amr": "WeChat"

                },

               "ForAnyValue:StringLike": {

                   "cognito-identity.amazonaws.com:amr": [

                       "*:ABCDEFGH",

                       "*:AABBCCDD"

                   ]

                }

            }

        }

    ]

}
```
f. 点击更新策略（Update policy）。更新 IAM Role 后，系统需要大概 1 分钟同步数据，之后微信用户即可登录亚马逊云助手小程序

g. 在内部系统中记录微信用户，联合登录用户代码和 IAM Role 的绑定关系。您在未来解绑用户的时候需要使用这些信息

h. 将 IAM Role ARN 发送给用户

3. 微信用户输入 IAM Role ARN

a. 在亚马逊云助手小程序的用户登录页，点击下方 “登录其它亚马逊云用户”，进入设置联合登录页面

b. 点击下方 “已设置联合登录”，进入填写 ARN 信息页面

c. 填写 IT 管理员发送给您的 IAM Role ARN

d. 亚马逊云助手提示绑定成功后，微信用户即可使用亚马逊云助手

- END -