- Користувач IAM – це сутність, створена в AWS, яка забезпечує спосіб взаємодії з ресурсами AWS.
- Основна мета користувачів IAM полягає в тому, щоб вони могли входити в консоль керування AWS і надсилати запити до служб AWS.
- Новостворений Користувачі IAM немає пароля та ключа доступу. Якщо користувач хоче використовувати ресурси AWS за допомогою консолі керування AWS, вам потрібно створити пароль користувача. Якщо користувач хоче взаємодіяти за допомогою AWS програмно (за допомогою CLI (інтерфейс командного рядка)), вам потрібно створити ключ доступу для цього користувача. Облікові дані, створені для користувача IAM, є тим, що саме унікально ідентифікує себе в AWS.
- Безпеку облікових даних користувача можна підвищити за допомогою функції, наприклад багатофакторної автентифікації.
- Щойно створені користувачі IAM не мають дозволів, тобто вони не мають доступу до ресурсів AWS.
- Перевагою використання окремих користувачів IAM є те, що ви можете призначати дозволи окремо. Ви навіть можете призначити адміністративні дозволи, які можуть адмініструвати ваші ресурси AWS, а також адмініструвати інших користувачів IAM.
- В основному дозволи користувача встановлені для завдань і ресурсів AWS, тобто завдання, призначеного користувачеві IAM. Наприклад, ви створюєте користувача IAM на ім’я Advita, створюєте пароль для користувача та встановлюєте дозволи, які дозволяють йому запускати екземпляри Amazon EC2 і читати дані з бази даних Amazon RDS.
- Кожен користувач IAM пов’язаний лише з одним обліковим записом AWS.
- Користувачі визначаються у вашому обліковому записі, тому їм не потрібно платити. Будь-яка діяльність AWS, яку виконує користувач, виставляється на ваш рахунок.
Користувачі IAM не обов’язково є людьми
Користувач IAM не обов’язково представляє людей. Користувач IAM – це лише особа з пов’язаним дозволом. Ви також можете створити користувача IAM для представлення програми, якій потрібні облікові дані для доступу до служб AWS.
Створення користувача IAM (консоль керування AWS)
Щоб створити користувача за допомогою консолі керування AWS:
- Увійдіть у консоль керування AWS.
- Відкрийте консоль IAM за адресою https://console.aws.amazon.com/iam/home?region=us-east-2#/home. З’явиться екран, показаний нижче:
- На панелі навігації клацніть Користувачі. Після натискання на «Користувачі» з’являється екран, показаний нижче:
- Натисніть «Додати користувача», щоб додати нових користувачів до свого облікового запису. Після натискання «Додати користувача» з’являється екран, показаний нижче:
- Введіть ім’я користувача для користувача, якого ви хочете створити. Ви можете створити п'ять користувачів одночасно.
- Виберіть тип доступу до AWS. Або ви хочете, щоб користувач мав програмний доступ, доступ до консолі керування AWS або обидва.
- Ви також можете надати користувачеві дозвіл керувати своїми обліковими даними безпеки.
Створення користувача IAM (CLI або API)
- Створіть користувача
CLI command: aws iam create-user API command: CreateUser
- Ви можете призначити користувачеві облікові дані безпеки, такі як пароль, які потрібні, якщо ви хочете, щоб користувач використовував консоль керування AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Створіть ключ доступу для користувача, який потрібен, якщо користувачеві потрібно програмно отримати доступ до ресурсів AWS.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Додайте політику до користувача, яка визначає дозволи.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Користувача можна додати до однієї або кількох груп.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Як користувачі IAM входять у ваш обліковий запис AWS
- Відкрийте посилання https://us-east-1.signin.aws.amazon.com/, щоб увійти у свій обліковий запис AWS.
- Користувач IAM вводить ім’я користувача та пароль, призначені вами для входу в консоль IAM.
Перелік користувачів IAM (консоль керування AWS)
- Увійдіть у консоль керування AWS, ввівши адресу електронної пошти та пароль.
- Відкрийте консоль IAM.
- На панелі навігації клацніть «Користувачі», після чого з’явиться екран, показаний нижче:
Екран вище показує, що є лише вже користувач існує, ім'я якого MyUser.
Перелік усіх користувачів у групі (консоль керування AWS)
- Увійдіть у консоль керування AWS, ввівши адресу електронної пошти та пароль.
- Відкрийте консоль IAM.
- На панелі навігації клацніть групу, після чого з’явиться екран, показаний нижче:
На екрані вище показано, що групи не існує
Список усіх користувачів (CLI та API)
- Список усіх користувачів в обліковому записі.
CLI command : aws iam list-users API command : ListUsers
- Перелічіть користувачів у певній групі.
CLI command : aws iam get-group API command : GetGroup
- Перерахуйте всі групи, в яких існує конкретний користувач.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Видалення користувача IAM (консоль керування AWS)
- Увійдіть у консоль керування AWS.
- Відкрийте консоль IAM.
- На панелі навігації клацніть Користувачі.
- Установіть прапорець біля імені користувача.
- У списку «Дії користувача» у верхній частині сторінки виберіть «Видалити користувача».
- Натисніть «Так», «Видалити».
Видалення користувача IAM (AWS CLI)
- Видаліть ключі та сертифікати користувача, які гарантують, що користувач не зможе отримати доступ до ваших облікових записів AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Видалити пароль користувача, якщо він містить пароль.
aws iam delete-login-profile
- Дезактивуйте пристрій MFA користувача, якщо він у користувача є.
aws iam deactivate-mfa-device
- Ми також можемо від'єднати політики, прикріплені до користувача.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Отримайте список груп, у яких був користувач, а потім видаліть користувачів із групи.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Видалити користувача
aws iam delete-user