- Uživatel IAM je entita vytvořená v AWS, která poskytuje způsob interakce se zdroji AWS.
- Hlavním účelem uživatelů IAM je, že se mohou přihlásit do konzoly pro správu AWS a mohou zadávat požadavky na služby AWS.
- Nově vytvořené uživatelé IAM nemají heslo ani přístupový klíč. Pokud chce uživatel používat prostředky AWS pomocí konzoly pro správu AWS, musíte vytvořit uživatelské heslo. Pokud chce uživatel interagovat pomocí AWS programově (pomocí rozhraní CLI (Command Line Interface)), musíte pro tohoto uživatele vytvořit přístupový klíč. Přihlašovací údaje vytvořené pro uživatele IAM jsou přesně to, co je jednoznačně identifikuje AWS.
- Zabezpečení přihlašovacích údajů uživatele lze zvýšit použitím funkce, tj. vícefaktorové autentizace.
- Nově vytvoření uživatelé IAM nemají oprávnění, tj. nejsou oprávněni přistupovat ke zdrojům AWS.
- Výhodou použití jednotlivých uživatelů IAM je, že můžete jednotlivě přiřadit oprávnění. Můžete dokonce přidělit oprávnění správce, kteří mohou spravovat vaše prostředky AWS a také spravovat další uživatele IAM.
- Oprávnění uživatele jsou hlavně nastavena na úkoly a prostředky AWS, tj. na úlohu přiřazenou uživateli IAM. Například vytvoříte uživatele IAM, jehož jméno je Advita, vytvoříte pro uživatele heslo a nastavíte oprávnění, která mu umožní spouštět instance Amazon EC2 a číst data z databáze Amazon RDS.
- Každý uživatel IAM je spojen s jedním a pouze jedním účtem AWS.
- Uživatelé jsou definováni ve vašem účtu, takže uživatelé nemusí platit. Jakákoli aktivita AWS prováděná uživatelem je účtována na váš účet.
Uživatelé IAM nejsou nutně lidé
Uživatel IAM nemusí nutně představovat lidi. Uživatel IAM je pouze identita s přidruženým oprávněním. Můžete také vytvořit uživatele IAM, který bude představovat aplikaci, která potřebuje mít přihlašovací údaje, aby mohla přistupovat ke službám AWS.
Vytvoření uživatele IAM (konzola pro správu AWS)
Chcete-li vytvořit uživatele pomocí konzoly pro správu AWS:
- Přihlaste se do konzoly pro správu AWS.
- Otevřete IAM Console na https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Objeví se obrazovka, která je zobrazena níže:
- V navigačním podokně klikněte na položku Uživatelé. Po kliknutí na Uživatelé se zobrazí obrazovka, která je zobrazena níže:
- Kliknutím na Přidat uživatele přidáte nové uživatele do svého účtu. Po kliknutí na Přidat uživatele se objeví obrazovka, která je zobrazena níže:
- Zadejte uživatelské jméno pro uživatele, kterého chcete vytvořit. Můžete vytvořit pět uživatelů najednou.
- Vyberte typ přístupu AWS. Buď chcete, aby měl uživatel programový přístup, přístup k AWS Management Console nebo obojí.
- Můžete také uživateli udělit oprávnění ke správě jeho bezpečnostních pověření.
Vytvoření uživatele IAM (CLI nebo API)
- Vytvořte uživatele
CLI command: aws iam create-user API command: CreateUser
- Uživateli můžete přiřadit bezpečnostní pověření, jako je heslo, které je vyžadováno, pokud chcete, aby uživatel používal konzolu pro správu AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Vytvořte pro uživatele přístupový klíč, který je vyžadován, pokud uživatel potřebuje programově přistupovat ke zdrojům AWS.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Připojte k uživateli zásadu, která definuje oprávnění.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Uživatele lze přidat do jedné nebo více skupin.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Jak se uživatelé IAM přihlašují k vašemu účtu AWS
- Otevřete odkaz https://us-east-1.signin.aws.amazon.com/ a přihlaste se ke svému účtu AWS.
- Uživatel IAM zadá vámi přidělené uživatelské jméno a heslo pro přihlášení do konzoly IAM.
Výpis uživatelů IAM ( AWS Management Console )
- Přihlaste se do AWS Management Console zadáním své e-mailové adresy a hesla.
- Otevřete konzolu IAM.
- V navigačním podokně klikněte na Uživatelé, poté se zobrazí obrazovka, která je zobrazena níže:
Výše uvedená obrazovka ukazuje, že existuje pouze již uživatelem existuje, jehož jméno je MyUser.
Seznam všech uživatelů ve skupině (AWS Management Console)
- Přihlaste se do AWS Management Console zadáním své e-mailové adresy a hesla.
- Otevřete konzolu IAM.
- V navigačním podokně klikněte na skupinu, poté se zobrazí obrazovka, která je zobrazena níže:
Výše uvedená obrazovka ukazuje, že žádná skupina neexistuje
Seznam všech uživatelů (CLI a API)
- Seznam všech uživatelů v účtu.
CLI command : aws iam list-users API command : ListUsers
- Seznam uživatelů v konkrétní skupině.
CLI command : aws iam get-group API command : GetGroup
- Vypište všechny skupiny, ve kterých existuje konkrétní uživatel.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Smazání uživatele IAM (konzola pro správu AWS)
- Přihlaste se do konzoly pro správu AWS.
- Otevřete konzolu IAM.
- V navigačním podokně klikněte na Uživatelé.
- Zaškrtněte políčko vedle jména uživatele.
- V seznamu Uživatelské akce v horní části stránky vyberte Odstranit uživatele.
- Klikněte na Ano, Odstranit.
Smazání uživatele IAM (AWS CLI)
- Odstraňte klíče a certifikáty uživatele, což zajistí, že uživatel nebude mít přístup k vašim účtům AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Smažte heslo uživatele, pokud uživatel obsahuje heslo.
aws iam delete-login-profile
- Deaktivujte MFA zařízení uživatele, pokud jej má.
aws iam deactivate-mfa-device
- Můžeme také odpojit zásady, které jsou připojeny k uživateli.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Získejte seznam skupin, ve kterých byl uživatel, a poté uživatele ze skupiny odeberte.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Smazat uživatele
aws iam delete-user