- Потребителят на IAM е обект, създаден в AWS, който предоставя начин за взаимодействие с ресурсите на AWS.
- Основната цел на потребителите на IAM е да могат да влизат в конзолата за управление на AWS и да правят заявки към услугите на AWS.
- Новосъздаденият IAM потребители нямат парола и ключ за достъп. Ако потребител иска да използва ресурсите на AWS с помощта на конзолата за управление на AWS, трябва да създадете потребителска парола. Ако потребител иска да взаимодейства с помощта на AWS програмно (с помощта на CLI (интерфейс на командния ред)), трябва да създадете ключ за достъп за този потребител. Идентификационните данни, създадени за потребител на IAM, са това, което точно се идентифицира уникално за AWS.
- Сигурността на идентификационните данни на потребителя може да бъде подобрена чрез използване на функцията, т.е. многофакторно удостоверяване.
- Новосъздадените потребители на IAM нямат разрешения, т.е. не са упълномощени за достъп до ресурсите на AWS.
- Предимство на използването на отделни потребители на IAM е, че можете да зададете разрешенията поотделно. Можете дори да зададете административни разрешения, които могат да администрират вашите AWS ресурси и също така да администрират други потребители на IAM.
- Основно разрешенията на потребителя са зададени за задачи и ресурси на AWS, т.е. заданието, възложено на потребителя на IAM. Например създавате потребител на IAM, чието име е Advita, създавате парола за потребителя и задавате разрешенията, които му позволяват да стартира инстанции на Amazon EC2 и да чете данните от базата данни на Amazon RDS.
- Всеки потребител на IAM е свързан с един и само един акаунт в AWS.
- Потребителите се определят във вашия акаунт, така че потребителите не трябва да извършват плащания. Всяка AWS дейност, извършена от потребител, се таксува към вашия акаунт.
Потребителите на IAM не са непременно хора
Потребителят на IAM не представлява непременно хора. Потребителят на IAM е само самоличност със свързано разрешение. Можете също така да създадете потребител на IAM, който да представлява приложение, което трябва да има идентификационни данни, за да има достъп до услугите на AWS.
Създаване на IAM потребител (конзола за управление на AWS)
За да създадете потребител с помощта на AWS Management Console:
- Влезте в конзолата за управление на AWS.
- Отворете IAM конзолата на https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Появява се екранът, показан по-долу:
- В навигационния панел щракнете върху Потребители. След като щракнете върху Потребители, се появява екранът, показан по-долу:
- Кликнете върху Добавяне на потребител, за да добавите нови потребители към вашия акаунт. След като щракнете върху Добавяне на потребител, се появява екранът, показан по-долу:
- Въведете потребителското име за потребителя, който искате да създадете. Можете да създадете петима потребители наведнъж.
- Изберете типа достъп до AWS. Или искате потребителят да има програмен достъп, достъп до AWS Management Console или и двете.
- Можете също да дадете разрешение на потребителя да управлява своите идентификационни данни за сигурност.
Създаване на IAM потребител (CLI или API)
- Създайте потребител
CLI command: aws iam create-user API command: CreateUser
- Можете да присвоите идентификационни данни за сигурност, като например парола, на потребителя, което е необходимо, ако искате потребителят да използва конзолата за управление на AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Създайте ключ за достъп за потребителя, който е необходим, ако потребителят има нужда от програмен достъп до ресурсите на AWS.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Прикрепете политика към потребителя, която определя разрешенията.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Потребител може да бъде добавен към една или повече групи.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Как потребителите на IAM влизат във вашия акаунт в AWS
- Отворете връзката https://us-east-1.signin.aws.amazon.com/, за да влезете във вашия AWS акаунт.
- Потребител на IAM въвежда потребителското име и паролата, зададени от вас, за да влезе в IAM конзолата.
Изброяване на IAM потребители (конзола за управление на AWS)
- Влезте в конзолата за управление на AWS, като въведете своя имейл адрес и парола.
- Отворете IAM конзолата.
- В навигационния панел щракнете върху Потребители, след което се появява екранът, показан по-долу:
Горният екран показва, че има само вече потребител съществува, чието име е MyUser.
Изброяване на всички потребители в група (конзола за управление на AWS)
- Влезте в конзолата за управление на AWS, като въведете своя имейл адрес и парола.
- Отворете IAM конзолата.
- В навигационния панел щракнете върху групата, след което се появява екранът, показан по-долу:
Горният екран показва, че не съществува група
Изброяване на всички потребители (CLI и API)
- Избройте всички потребители в акаунт.
CLI command : aws iam list-users API command : ListUsers
- Избройте потребителите в конкретна група.
CLI command : aws iam get-group API command : GetGroup
- Избройте всички групи, в които съществува определен потребител.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Изтриване на IAM потребител (конзола за управление на AWS)
- Влезте в конзолата за управление на AWS.
- Отворете IAM конзолата.
- В навигационния панел щракнете върху Потребители.
- Изберете квадратчето за отметка, което се появява до потребителското име.
- От списъка с потребителски действия в горната част на страницата изберете Изтриване на потребител.
- Щракнете върху Да, Изтриване.
Изтриване на IAM потребител (AWS CLI)
- Изтрийте ключовете и сертификатите на потребителя, което гарантира, че потребителят няма достъп до вашите AWS акаунти.
aws iam delete-access-key aws iam delete-signing-certificate
- Изтрийте паролата на потребителя, ако потребителят съдържа парола.
aws iam delete-login-profile
- Деактивирайте MFA устройството на потребителя, ако потребителят има такова.
aws iam deactivate-mfa-device
- Можем също да отделим политиките, които са прикачени към потребителя.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Вземете списъка с групите, в които е бил потребителят, и след това премахнете потребителите от групата.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Изтрийте потребителя
aws iam delete-user