logo

TechCodeview

IAM-käyttäjät

  • IAM-käyttäjä on AWS:ssä luotu entiteetti, joka tarjoaa tavan olla vuorovaikutuksessa AWS-resurssien kanssa.
  • IAM-käyttäjien päätarkoitus on, että he voivat kirjautua sisään AWS-hallintakonsoliin ja tehdä pyyntöjä AWS-palveluihin.
  • Äskettäin luotu IAM-käyttäjät sinulla ei ole salasanaa eikä pääsyavainta. Jos käyttäjä haluaa käyttää AWS-resursseja AWS-hallintakonsolin avulla, sinun on luotava käyttäjän salasana. Jos käyttäjä haluaa olla vuorovaikutuksessa AWS:n avulla ohjelmallisesti (käyttäen CLI:tä (Command Line Interface)), sinun on luotava pääsyavain tälle käyttäjälle. IAM-käyttäjälle luodut tunnistetiedot tunnistavat itsensä tarkasti AWS:lle.
  • Käyttäjän tunnistetietojen turvallisuutta voidaan parantaa käyttämällä ominaisuutta eli monivaiheista todennusta.
  • Äskettäin luoduilla IAM-käyttäjillä ei ole oikeuksia, eli heillä ei ole valtuuksia käyttää AWS-resursseja.
  • Yksittäisten IAM-käyttäjien käytön etuna on, että voit määrittää käyttöoikeudet yksitellen. Voit jopa määrittää järjestelmänvalvojan oikeudet, jotka voivat hallita AWS-resurssejasi ja myös muita IAM-käyttäjiä.
  • Pääasiassa käyttäjän käyttöoikeudet asetetaan AWS-tehtäville ja -resursseille, eli IAM-käyttäjälle määrätylle työlle. Luot esimerkiksi IAM-käyttäjän, jonka nimi on Advita, luot käyttäjälle salasanan ja määrität käyttöoikeudet, joiden avulla hän voi käynnistää Amazon EC2 -esiintymiä ja lukea tietoja Amazon RDS -tietokannasta.
  • Jokainen IAM-käyttäjä on liitetty yhteen ja vain yhteen AWS-tiliin.
  • Käyttäjät määritellään tililläsi, joten käyttäjien ei tarvitse maksaa. Kaikki käyttäjän suorittamat AWS-toiminnot laskutetaan tililtäsi.

IAM-käyttäjät eivät välttämättä ole ihmisiä

IAM-käyttäjä ei välttämättä edusta kansaa. IAM-käyttäjä on vain identiteetti ja siihen liittyvät luvat. Voit myös luoda IAM-käyttäjän edustamaan sovellusta, jolla on oltava tunnistetiedot päästäkseen AWS-palveluihin.

Linuxin nimeä kansio uudelleen

IAM-käyttäjän luominen (AWS-hallintakonsoli)

Käyttäjän luominen AWS-hallintakonsolin avulla:

  • Kirjaudu AWS-hallintakonsoliin.
  • Avaa IAM-konsoli osoitteessa https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Näyttöön tulee näyttö, joka näkyy alla:
IAM-käyttäjät
  • Napsauta navigointiruudussa Käyttäjät. Kun olet napsauttanut Käyttäjiä, näyttöön tulee alla näkyvä näyttö:
IAM-käyttäjät
  • Napsauta Lisää käyttäjä lisätäksesi uusia käyttäjiä tilillesi. Kun olet napsauttanut Lisää käyttäjä, näyttöön tulee alla näkyvä näyttö:
IAM-käyttäjät
  • Syötä sen käyttäjän käyttäjänimi, jonka haluat luoda. Voit luoda viisi käyttäjää kerrallaan.
  • Valitse AWS-käyttöoikeustyyppi. Joko haluat, että käyttäjällä on ohjelmallinen käyttöoikeus, AWS-hallintakonsolin käyttöoikeus tai molemmat.
  • Voit myös antaa käyttäjälle luvan hallita suojaustunnuksiaan.

IAM-käyttäjän luominen (CLI tai API)

  • Luo käyttäjä
 CLI command: aws iam create-user API command: CreateUser
  • Voit määrittää käyttäjälle suojaustunnuksia, kuten salasanan, joka vaaditaan, jos haluat käyttäjän käyttävän AWS-hallintakonsolia.
 CLI command: aws iam create-login-profile API command: CreateLoginProfile
  • Luo käyttäjälle pääsyavain, jota tarvitaan, jos käyttäjän on käytettävä AWS-resursseja ohjelmallisesti.
 CLI command: aws iam create-access-key API command: CreateAccessKey
  • Liitä käyttäjälle käytäntö, joka määrittää käyttöoikeudet.
 CLI command: aws iam attach-user-policy API command: AttachUserPolicy
  • Käyttäjä voidaan lisätä yhteen tai useampaan ryhmään.
 CLI command: aws iam add-user-to-group API command: AddUserToGroup

Kuinka IAM-käyttäjät kirjautuvat AWS-tilillesi

  • Avaa linkki https://us-east-1.signin.aws.amazon.com/ kirjautuaksesi AWS-tilillesi.
IAM-käyttäjät
  • IAM-käyttäjä syöttää antamasi käyttäjätunnuksen ja salasanan IAM-konsoliin kirjautumiseen.

IAM-käyttäjien luettelointi (AWS-hallintakonsoli)

  • Kirjaudu AWS-hallintakonsoliin antamalla sähköpostiosoitteesi ja salasanasi.
  • Avaa IAM-konsoli.
  • Napsauta navigointiruudussa Käyttäjät, jolloin näyttöön tulee alla näkyvä näyttö:
IAM-käyttäjät

Yllä oleva näyttö näyttää, että on vain jo käyttäjä olemassa, jonka nimi on MyUser.

Kaikkien ryhmän käyttäjien luettelointi (AWS-hallintakonsoli)

  • Kirjaudu AWS-hallintakonsoliin antamalla sähköpostiosoitteesi ja salasanasi.
  • Avaa IAM-konsoli.
  • Napsauta navigointiruudussa ryhmää, jolloin näyttöön tulee alla näkyvä näyttö:
IAM-käyttäjät

Yllä oleva näyttö osoittaa, että ryhmää ei ole olemassa

Kaikkien käyttäjien luettelo (CLI ja API)

  • Listaa kaikki tilin käyttäjät.
 CLI command : aws iam list-users API command : ListUsers
  • Listaa tietyn ryhmän käyttäjät.
 CLI command : aws iam get-group API command : GetGroup
  • Luettele kaikki ryhmät, joissa tietty käyttäjä on.
 CLI command : aws iam list-groups-for-user API command : ListGroupsForUser

IAM-käyttäjän poistaminen (AWS-hallintakonsoli)

  • Kirjaudu AWS-hallintakonsoliin.
  • Avaa IAM-konsoli.
  • Napsauta navigointiruudussa Käyttäjät.
  • Valitse valintaruutu tulee näkyviin käyttäjänimen viereen.
IAM-käyttäjät
  • Valitse sivun yläreunassa olevasta Käyttäjän toiminnot -luettelosta Poista käyttäjä.
IAM-käyttäjät
  • Napsauta Kyllä, Poista.

IAM-käyttäjän poistaminen (AWS CLI)

  • Poista käyttäjän avaimet ja varmenteet, jotta käyttäjä ei voi käyttää AWS-tilejäsi.
 aws iam delete-access-key aws iam delete-signing-certificate
  • Poista käyttäjän salasana, jos käyttäjällä on salasana.
 aws iam delete-login-profile
  • Poista käyttäjän MFA-laite käytöstä, jos käyttäjällä on sellainen.
 aws iam deactivate-mfa-device
  • Voimme myös irrottaa käyttäjälle liitetyt käytännöt.
 aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
  • Hae luettelo ryhmistä, joissa käyttäjä oli, ja poista sitten käyttäjät ryhmästä.
 aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
  • Poista käyttäjä
 aws iam delete-user