- Používateľ IAM je entita vytvorená v AWS, ktorá poskytuje spôsob interakcie so zdrojmi AWS.
- Hlavným účelom používateľov IAM je, že sa môžu prihlásiť do konzoly AWS Management Console a môžu zadávať požiadavky na služby AWS.
- Novovytvorený Používatelia IAM nemajú heslo ani prístupový kľúč. Ak chce používateľ používať prostriedky AWS pomocou riadiacej konzoly AWS, musíte si vytvoriť heslo používateľa. Ak chce používateľ interagovať pomocou AWS programovo (pomocou rozhrania CLI (Command Line Interface)), musíte pre tohto používateľa vytvoriť prístupový kľúč. Poverenia vytvorené pre používateľa IAM sú presne to, čo sa jednoznačne identifikuje pre AWS.
- Bezpečnosť prihlasovacích údajov používateľa je možné zvýšiť pomocou funkcie, t. j. viacfaktorovej autentifikácie.
- Novovytvorení používatelia IAM nemajú povolenia, t. j. nemajú oprávnenie na prístup k prostriedkom AWS.
- Výhodou používania jednotlivých používateľov IAM je, že povolenia môžete prideľovať jednotlivo. Môžete dokonca prideliť správcovské povolenia, ktoré môžu spravovať vaše zdroje AWS a tiež spravovať iných používateľov IAM.
- Povolenia používateľa sú hlavne nastavené na úlohy a zdroje AWS, t. j. úlohu priradenú používateľovi IAM. Napríklad vytvoríte používateľa IAM, ktorého meno je Advita, vytvoríte pre používateľa heslo a nastavíte povolenia, ktoré mu umožnia spúšťať inštancie Amazon EC2 a čítať údaje z databázy Amazon RDS.
- Každý používateľ IAM je spojený s jedným a iba jedným účtom AWS.
- Používatelia sú definovaní vo vašom účte, takže používatelia nemusia platiť. Akákoľvek aktivita AWS vykonaná používateľom sa účtuje na váš účet.
Používatelia IAM nie sú nevyhnutne ľudia
Používateľ IAM nemusí nevyhnutne predstavovať ľudí. Používateľ IAM je iba identita s príslušným povolením. Môžete tiež vytvoriť používateľa IAM, ktorý bude predstavovať aplikáciu, ktorá potrebuje mať prihlasovacie údaje, aby mohla pristupovať k službám AWS.
java tostring
Vytvorenie používateľa IAM (konzola na správu AWS)
Ak chcete vytvoriť používateľa pomocou konzoly AWS Management Console:
- Prihláste sa do konzoly AWS Management Console.
- Otvorte konzolu IAM na https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Zobrazí sa obrazovka, ktorá je znázornená nižšie:
- Na navigačnej table kliknite na položku Používatelia. Po kliknutí na Používateľov sa zobrazí obrazovka, ktorá je zobrazená nižšie:
- Kliknutím na Pridať používateľa pridáte nových používateľov do svojho účtu. Po kliknutí na Pridať používateľa sa zobrazí obrazovka, ktorá je zobrazená nižšie:
- Zadajte meno používateľa pre používateľa, ktorého chcete vytvoriť. Naraz môžete vytvoriť päť používateľov.
- Vyberte typ prístupu AWS. Buď chcete, aby mal používateľ programový prístup, prístup k AWS Management Console alebo oboje.
- Používateľovi môžete tiež udeliť povolenie na správu jeho bezpečnostných poverení.
Vytvorenie používateľa IAM (CLI alebo API)
- Vytvorte používateľa
CLI command: aws iam create-user API command: CreateUser
- Používateľovi môžete priradiť bezpečnostné poverenia, ako napríklad heslo, ktoré sa vyžaduje, ak chcete, aby používateľ používal konzolu AWS Management Console.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Vytvorte pre používateľa prístupový kľúč, ktorý sa vyžaduje, ak používateľ potrebuje pristupovať k zdrojom AWS programovo.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Pripojte k používateľovi politiku, ktorá definuje povolenia.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Používateľa možno pridať do jednej alebo viacerých skupín.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Ako sa používatelia IAM prihlasujú do vášho účtu AWS
- Otvorte odkaz https://us-east-1.signin.aws.amazon.com/ a prihláste sa do svojho účtu AWS.
- Používateľ IAM zadá vami pridelené používateľské meno a heslo na prihlásenie do konzoly IAM.
Zoznam používateľov IAM ( AWS Management Console )
- Prihláste sa do konzoly AWS Management Console zadaním svojej e-mailovej adresy a hesla.
- Otvorte konzolu IAM.
- Na navigačnom paneli kliknite na Používateľov, potom sa zobrazí obrazovka, ktorá je zobrazená nižšie:
Vyššie uvedená obrazovka ukazuje, že existuje len už používateľom existuje, ktorého meno je MyUser.
Zoznam všetkých používateľov v skupine (AWS Management Console)
- Prihláste sa do konzoly AWS Management Console zadaním svojej e-mailovej adresy a hesla.
- Otvorte konzolu IAM.
- Na navigačnom paneli kliknite na skupinu, potom sa zobrazí obrazovka, ktorá je znázornená nižšie:
Vyššie uvedená obrazovka ukazuje, že žiadna skupina neexistuje
reakčná tabuľka
Zoznam všetkých používateľov (CLI a API)
- Uveďte všetkých používateľov v účte.
CLI command : aws iam list-users API command : ListUsers
- Uveďte používateľov v konkrétnej skupine.
CLI command : aws iam get-group API command : GetGroup
- Uveďte všetky skupiny, v ktorých existuje konkrétny používateľ.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Odstránenie používateľa IAM (konzola na správu AWS)
- Prihláste sa do konzoly AWS Management Console.
- Otvorte konzolu IAM.
- Na navigačnej table kliknite na položku Používatelia.
- Začiarknite políčko vedľa mena používateľa.
- V zozname Akcie používateľa v hornej časti stránky vyberte položku Odstrániť používateľa.
- Kliknite na Áno, Odstrániť.
Odstránenie používateľa IAM (AWS CLI)
- Odstráňte kľúče a certifikáty používateľa, čím zaistíte, že používateľ nebude mať prístup k vašim účtom AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Odstráňte heslo používateľa, ak používateľ obsahuje heslo.
aws iam delete-login-profile
- Deaktivujte MFA zariadenie používateľa, ak ho má.
aws iam deactivate-mfa-device
- Môžeme tiež odpojiť politiky, ktoré sú pripojené k používateľovi.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Získajte zoznam skupín, v ktorých bol používateľ, a potom odstráňte používateľov zo skupiny.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Odstrániť používateľa
aws iam delete-user