- IAM naudotojas yra AWS sukurtas objektas, suteikiantis galimybę sąveikauti su AWS ištekliais.
- Pagrindinis IAM vartotojų tikslas yra tai, kad jie gali prisijungti prie AWS valdymo pulto ir pateikti užklausas dėl AWS paslaugų.
- Naujai sukurtas IAM vartotojai neturi slaptažodžio ir prieigos rakto. Jei vartotojas nori naudoti AWS išteklius naudodamas AWS valdymo pultą, turite sukurti vartotojo slaptažodį. Jei vartotojas nori bendrauti naudodamas AWS programiškai (naudodamas CLI (komandinės eilutės sąsają)), turite sukurti to vartotojo prieigos raktą. IAM naudotojui sukurti kredencialai yra tai, kas tiksliai unikaliai identifikuoja save AWS.
- Vartotojo kredencialų saugumas gali būti padidintas naudojant funkciją, t. y. kelių faktorių autentifikavimą.
- Naujai sukurti IAM vartotojai neturi teisių, t. y. jie neturi prieigos prie AWS išteklių.
- Atskirų IAM vartotojų naudojimo pranašumas yra tas, kad leidimus galite priskirti atskirai. Jūs netgi galite priskirti administracinius leidimus, kurie gali administruoti jūsų AWS išteklius ir kitus IAM vartotojus.
- Iš esmės vartotojo leidimai nustatomi AWS užduotims ir ištekliams, t. y. IAM vartotojui priskirtai užduočiai. Pavyzdžiui, sukuriate IAM naudotoją, kurio vardas yra Advita, sukuriate vartotojo slaptažodį ir nustatote leidimus, leidžiančius jai paleisti Amazon EC2 egzempliorius ir nuskaityti duomenis iš Amazon RDS duomenų bazės.
- Kiekvienas IAM vartotojas yra susietas su viena ir tik viena AWS paskyra.
- Vartotojai apibrėžiami jūsų paskyroje, todėl vartotojams nereikia mokėti. Bet kokia vartotojo atliekama AWS veikla apmokestinama jūsų paskyra.
IAM vartotojai nebūtinai yra žmonės
IAM vartotojas nebūtinai atstovauja žmonėms. IAM vartotojas yra tik tapatybė su susijusiu leidimu. Taip pat galite sukurti IAM naudotoją, kuris atstovautų programai, kuriai reikia kredencialų, kad galėtumėte pasiekti AWS paslaugas.
IAM vartotojo kūrimas (AWS valdymo pultas)
Norėdami sukurti vartotoją naudodami AWS valdymo pultą:
- Prisijunkite prie AWS valdymo pulto.
- Atidarykite IAM konsolę adresu https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Pasirodo ekranas, kuris parodytas žemiau:
- Naršymo srityje spustelėkite Vartotojai. Spustelėjus Vartotojai, pasirodo ekranas, kuris parodytas žemiau:
- Spustelėkite Pridėti vartotoją, kad pridėtumėte naujų vartotojų prie paskyros. Spustelėjus Add User, pasirodo ekranas, kuris parodytas žemiau:
- Įveskite vartotojo vardą, kurį norite sukurti. Vienu metu galite sukurti penkis vartotojus.
- Pasirinkite AWS prieigos tipą. Ar norite, kad vartotojas turėtų programinę prieigą, AWS valdymo pulto prieigą arba abu.
- Taip pat galite leisti vartotojui tvarkyti savo saugos kredencialus.
IAM vartotojo sukūrimas (CLI arba API)
- Sukurti vartotoją
CLI command: aws iam create-user API command: CreateUser
- Vartotojui galite priskirti saugos kredencialus, pvz., slaptažodį, kurio reikia, jei norite, kad vartotojas naudotų AWS valdymo pultą.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Sukurkite vartotojo prieigos raktą, kurio reikia, jei vartotojui reikia programiškai pasiekti AWS išteklius.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Naudotojui pridėkite politiką, kuri apibrėžia teises.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Vartotojas gali būti įtrauktas į vieną ar daugiau grupių.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Kaip IAM vartotojai prisijungia prie jūsų AWS paskyros
- Atidarykite nuorodą https://us-east-1.signin.aws.amazon.com/, kad prisijungtumėte prie savo AWS paskyros.
- IAM vartotojas įveda jūsų priskirtą vartotojo vardą ir slaptažodį, kad prisijungtų prie IAM konsolės.
IAM naudotojų sąrašas ( AWS valdymo pultas )
- Prisijunkite prie AWS valdymo pulto įvesdami savo el. pašto adresą ir slaptažodį.
- Atidarykite IAM konsolę.
- Naršymo srityje spustelėkite Vartotojai, tada pasirodys ekranas, kuris parodytas žemiau:
Aukščiau pateiktame ekrane rodoma, kad yra tik jau vartotojas egzistuoja, kurio pavadinimas yra MyUser.
Visų grupės naudotojų sąrašas (AWS valdymo pultas)
- Prisijunkite prie AWS valdymo pulto įvesdami savo el. pašto adresą ir slaptažodį.
- Atidarykite IAM konsolę.
- Naršymo srityje spustelėkite grupę, tada pasirodys ekranas, kuris parodytas žemiau:
Aukščiau pateiktame ekrane rodoma, kad grupės nėra
Visų vartotojų sąrašas (CLI ir API)
- Išvardykite visus paskyros naudotojus.
CLI command : aws iam list-users API command : ListUsers
- Išvardykite vartotojus konkrečioje grupėje.
CLI command : aws iam get-group API command : GetGroup
- Išvardykite visas grupes, kuriose yra konkretus vartotojas.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
IAM naudotojo ištrynimas (AWS valdymo pultas)
- Prisijunkite prie AWS valdymo pulto.
- Atidarykite IAM konsolę.
- Naršymo srityje spustelėkite Vartotojai.
- Pažymėkite žymimąjį laukelį, kuris pasirodo šalia vartotojo vardo.
- Puslapio viršuje esančiame sąraše Vartotojo veiksmai pasirinkite Ištrinti vartotoją.
- Spustelėkite Taip, Ištrinti.
IAM naudotojo ištrynimas (AWS CLI)
- Ištrinkite vartotojo raktus ir sertifikatus, kad užtikrintumėte, jog vartotojas negalės pasiekti jūsų AWS paskyrų.
aws iam delete-access-key aws iam delete-signing-certificate
- Ištrinkite vartotojo slaptažodį, jei vartotojas turi slaptažodį.
aws iam delete-login-profile
- Išjunkite vartotojo MFA įrenginį, jei vartotojas tokį turi.
aws iam deactivate-mfa-device
- Taip pat galime atskirti vartotojui priskirtas taisykles.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Gaukite grupių, kuriose buvo vartotojas, sąrašą ir pašalinkite vartotojus iš grupės.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Ištrinti vartotoją
aws iam delete-user