- Użytkownik IAM to jednostka utworzona w AWS, która umożliwia interakcję z zasobami AWS.
- Głównym celem użytkowników IAM jest możliwość logowania się do konsoli zarządzania AWS i wysyłania żądań do usług AWS.
- Nowo utworzone Użytkownicy IAM nie masz hasła ani klucza dostępu. Jeśli użytkownik chce korzystać z zasobów AWS za pomocą konsoli AWS Management Console, należy utworzyć hasło użytkownika. Jeśli użytkownik chce programowo wchodzić w interakcję za pomocą AWS (za pomocą CLI (interfejsu wiersza poleceń)), musisz utworzyć klucz dostępu dla tego użytkownika. Poświadczenia utworzone dla użytkownika IAM są tym, co dokładnie identyfikuje się z AWS.
- Bezpieczeństwo danych uwierzytelniających użytkownika można zwiększyć, korzystając z tej funkcji, tj. uwierzytelniania wieloskładnikowego.
- Nowo utworzeni Użytkownicy IAM nie posiadają uprawnień, czyli nie są uprawnieni do dostępu do zasobów AWS.
- Zaletą korzystania z indywidualnych Użytkowników IAM jest możliwość indywidualnego przydzielania uprawnień. Możesz nawet przypisać uprawnienia administracyjne, które będą mogły zarządzać Twoimi zasobami AWS, a także administrować innymi użytkownikami IAM.
- Głównie uprawnienia użytkownika są ustawione na zadania i zasoby AWS, czyli zadanie przypisane do Użytkownika IAM. Przykładowo tworzysz użytkownika IAM o imieniu Advita, tworzysz hasło dla użytkownika i ustawiasz uprawnienia, które pozwalają mu uruchamiać instancje Amazon EC2 i odczytywać dane z bazy Amazon RDS.
- Każdy użytkownik IAM jest powiązany z jednym i tylko jednym kontem AWS.
- Użytkownicy są zdefiniowani na Twoim koncie, więc nie muszą dokonywać płatności. Wszelkie działania AWS wykonane przez użytkownika są rozliczane na Twoim koncie.
Użytkownicy IAM niekoniecznie są ludźmi
Użytkownik IAM niekoniecznie reprezentuje ludzi. Użytkownik IAM to po prostu tożsamość z powiązanymi uprawnieniami. Możesz także utworzyć użytkownika IAM, który będzie reprezentował aplikację, która musi mieć poświadczenia, aby uzyskać dostęp do usług AWS.
while pętla Java
Tworzenie użytkownika IAM (konsola zarządzania AWS)
Aby utworzyć użytkownika za pomocą konsoli AWS Management Console:
- Zaloguj się do konsoli zarządzania AWS.
- Otwórz konsolę IAM pod adresem https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Pojawi się ekran pokazany poniżej:
- W panelu nawigacji kliknij opcję Użytkownicy. Po kliknięciu na Użytkownicy pojawia się ekran pokazany poniżej:
- Kliknij opcję Dodaj użytkownika, aby dodać nowych użytkowników do swojego konta. Po kliknięciu przycisku Dodaj użytkownika pojawi się ekran pokazany poniżej:
- Wprowadź nazwę użytkownika, którego chcesz utworzyć. Jednocześnie możesz utworzyć pięciu użytkowników.
- Wybierz typ dostępu AWS. Albo chcesz, aby użytkownik miał dostęp programowy, dostęp do konsoli zarządzania AWS lub jedno i drugie.
- Możesz także zezwolić użytkownikowi na zarządzanie jego poświadczeniami bezpieczeństwa.
Tworzenie użytkownika IAM (CLI lub API)
- Utwórz użytkownika
CLI command: aws iam create-user API command: CreateUser
- Możesz przypisać użytkownikowi poświadczenia bezpieczeństwa, takie jak hasło, które jest wymagane, jeśli chcesz, aby użytkownik korzystał z konsoli zarządzania AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Utwórz klucz dostępu dla użytkownika, który jest wymagany, jeśli użytkownik chce programowo uzyskać dostęp do zasobów AWS.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Dołącz do użytkownika politykę definiującą uprawnienia.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Użytkownik może zostać dodany do jednej lub większej liczby grup.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Jak użytkownicy IAM logują się na Twoje konto AWS
- Otwórz link https://us-east-1.signin.aws.amazon.com/, aby zalogować się na swoje konto AWS.
- Użytkownik IAM wprowadza nazwę użytkownika i hasło przydzielone przez Ciebie, aby zalogować się do Konsoli IAM.
Wyświetlanie listy użytkowników uprawnień (konsola zarządzania AWS)
- Zaloguj się do konsoli zarządzania AWS, wprowadzając swój adres e-mail i hasło.
- Otwórz konsolę uprawnień.
- W panelu nawigacyjnym kliknij Użytkownicy, pojawi się ekran pokazany poniżej:
Powyższy ekran pokazuje, że jest tylko już użytkownikiem istnieje, którego nazwa to MyUser.
Wyświetlanie listy wszystkich użytkowników w grupie (konsola zarządzania AWS)
- Zaloguj się do konsoli zarządzania AWS, wprowadzając swój adres e-mail i hasło.
- Otwórz konsolę uprawnień.
- W panelu nawigacyjnym kliknij Grupę, pojawi się ekran pokazany poniżej:
Powyższy ekran pokazuje, że nie istnieje żadna grupa
es5 kontra es6
Lista wszystkich użytkowników (CLI i API)
- Lista wszystkich użytkowników na koncie.
CLI command : aws iam list-users API command : ListUsers
- Lista użytkowników w określonej grupie.
CLI command : aws iam get-group API command : GetGroup
- Lista wszystkich grup, w których istnieje określony użytkownik.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Usuń użytkownika IAM (konsola zarządzania AWS)
- Zaloguj się do konsoli zarządzania AWS.
- Otwórz konsolę uprawnień.
- W panelu nawigacji kliknij opcję Użytkownicy.
- Zaznacz pole wyboru pojawiające się obok nazwy użytkownika.
- Z listy Działania użytkownika u góry strony wybierz opcję Usuń użytkownika.
- Kliknij tak, usuń.
Usuń użytkownika IAM (AWS CLI)
- Usuń klucze i certyfikaty użytkownika, co gwarantuje, że użytkownik nie będzie mógł uzyskać dostępu do Twoich kont AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Usuń hasło użytkownika, jeśli użytkownik zawiera hasło.
aws iam delete-login-profile
- Dezaktywuj urządzenie MFA użytkownika, jeśli użytkownik je posiada.
aws iam deactivate-mfa-device
- Możemy także odłączyć polisy dołączone do użytkownika.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Uzyskaj listę grup, w których znajdował się użytkownik, a następnie usuń użytkowników z grupy.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Usuń użytkownika
aws iam delete-user