- En IAM-användare är en enhet skapad i AWS som ger ett sätt att interagera med AWS-resurser.
- Huvudsyftet med IAM-användare är att de kan logga in på AWS Management Console och kan göra förfrågningar till AWS-tjänsterna.
- Den nyskapade IAM-användare har inget lösenord och ingen åtkomstnyckel. Om en användare vill använda AWS-resurserna med AWS Management Console måste du skapa användarlösenordet. Om en användare vill interagera med AWS programmatiskt (med CLI (Command Line Interface)), måste du skapa åtkomstnyckeln för den användaren. Autentiseringsuppgifterna som skapats för IAM-användare är det som exakt identifierar sig själva för AWS.
- Säkerheten för användarens autentiseringsuppgifter kan förbättras genom att använda funktionen, d.v.s. Multi-Factor Authentication.
- De nyskapade IAM-användarna har inte behörigheter, det vill säga de är inte behöriga att komma åt AWS-resurserna.
- En fördel med att använda individuella IAM-användare är att du kan tilldela behörigheterna individuellt. Du kan till och med tilldela administrativa behörigheter, vem som kan administrera dina AWS-resurser och även administrera andra IAM-användare.
- Huvudsakligen är användarens behörigheter inställda på AWS-uppgifter och resurser, det vill säga jobbet som tilldelats IAM-användaren. Till exempel skapar du en IAM-användare vars namn är Advita, du skapar ett lösenord för användaren och ställer in behörigheterna som låter henne starta Amazon EC2-instanser och läsa data från Amazon RDS-databasen.
- Varje IAM-användare är associerad med ett och endast ett AWS-konto.
- Användare definieras i ditt konto, så användare behöver inte betala. All AWS-aktivitet som utförs av en användare faktureras ditt konto.
IAM-användare är inte nödvändigtvis människor
En IAM-användare representerar inte nödvändigtvis ett folk. En IAM-användare är bara en identitet med tillhörande behörighet. Du kan också skapa en IAM-användare för att representera en applikation som behöver ha autentiseringsuppgifter för att få tillgång till AWS-tjänsterna.
Skapa en IAM-användare (AWS Management Console)
Så här skapar du en användare med AWS Management Console:
- Logga in på AWS Management Console.
- Öppna IAM-konsolen på https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Skärmen visas som visas nedan:
- Klicka på Användare i navigeringsfönstret. Efter att ha klickat på Användare visas skärmen som visas nedan:
- Klicka på Lägg till användare för att lägga till nya användare till ditt konto. Efter att ha klickat på Lägg till användare visas skärmen som visas nedan:
- Ange användarnamnet för den användare du vill skapa. Du kan skapa fem användare åt gången.
- Välj AWS-åtkomsttyp. Antingen vill du att en användare ska ha programmatisk åtkomst, AWS Management Console-åtkomst eller båda.
- Du kan också ge användaren behörighet att hantera hans eller hennes säkerhetsuppgifter.
Skapa en IAM-användare (CLI eller API)
- Skapa en användare
CLI command: aws iam create-user API command: CreateUser
- Du kan tilldela säkerhetsuppgifter som ett lösenord till användaren som krävs om du vill att en användare ska använda AWS Management Console.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Skapa en åtkomstnyckel för användaren som krävs om användaren behöver komma åt AWS-resurser programmatiskt.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Bifoga en policy till användaren som definierar behörigheterna.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- En användare kan läggas till i en eller flera grupper.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Hur IAM-användare loggar in på ditt AWS-konto
- Öppna länken https://us-east-1.signin.aws.amazon.com/ för att logga in på ditt AWS-konto.
- En IAM-användare anger användarnamnet och lösenordet som du tilldelats för att logga in på IAM-konsolen.
Lista IAM-användare (AWS Management Console)
- Logga in på AWS Management Console genom att ange din e-postadress och ditt lösenord.
- Öppna IAM-konsolen.
- I navigeringsfönstret klickar du på Användare, sedan visas skärmen som visas nedan:
Skärmen ovan visar att det bara finns redan en användare finns vars namn är MyUser.
Lista alla användare i en grupp (AWS Management Console)
- Logga in på AWS Management Console genom att ange din e-postadress och ditt lösenord.
- Öppna IAM-konsolen.
- I navigeringsfönstret, klicka på gruppen, sedan visas skärmen som visas nedan:
Skärmen ovan visar att det inte finns någon grupp
Lista alla användare (CLI och API)
- Lista alla användare på ett konto.
CLI command : aws iam list-users API command : ListUsers
- Lista användarna i en specifik grupp.
CLI command : aws iam get-group API command : GetGroup
- Lista alla grupper där en specifik användare finns.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Ta bort en IAM-användare (AWS Management Console)
- Logga in på AWS Management Console.
- Öppna IAM-konsolen.
- Klicka på Användare i navigeringsfönstret.
- Markera kryssrutan visas bredvid användarnamnet.
- Från listan Användaråtgärder högst upp på sidan väljer du Ta bort användare.
- Klicka på Ja, Ta bort.
Ta bort en IAM-användare (AWS CLI)
- Ta bort användarens nycklar och certifikat vilket säkerställer att användaren inte kan komma åt dina AWS-konton.
aws iam delete-access-key aws iam delete-signing-certificate
- Radera användarens lösenord om användaren innehåller ett lösenord.
aws iam delete-login-profile
- Inaktivera användarens MFA-enhet, om användaren har en.
aws iam deactivate-mfa-device
- Vi kan också koppla bort policyerna som är kopplade till användaren.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Hämta listan över grupperna som användaren var i och ta sedan bort användarna från gruppen.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Ta bort användaren
aws iam delete-user