Управляйте пользователями и их уровнем доступа к вашим ресурсам
Требования
- Аккаунт Amazon
Amazon Identity Access Management (IAM) позволяет вам управлять пользователями и их уровнем доступа к вашим ресурсам. Он дает вам возможность контролировать ряд вещей, в том числе:
- Многофакторная аутентификация
- Контроль ротации паролей
- Возможность контролировать разрешения пользователей
Разбивка ключевых слов IAM
Пользователи
Это люди, которые будут взаимодействовать с вашими ресурсами. Другими словами, любой, кому вы хотите иметь возможность входить в консоль AWS.
Группы
Группы - это совокупность пользователей. Например, вы можете объединить своих пользователей, входящих в группу развития бизнеса, в группу с именем BisDev. Группируя всех пользователей в группу, вы можете назначать групповые разрешения и, следовательно, разрешать доступ только к тем ресурсам, которые необходимы группе.
Роли
Роль IAM определяет набор разрешений, которые могут быть присвоены пользователям, группам или службам, таким как EC2.
Политики
Политика - это документ, определяющий одно или несколько разрешений.
Шаг 1. Перейдите к IAM
Перейдите в раскрывающееся меню Services и найдите IAM.
Щелкните IAM. Вы должны перейти к панели мониторинга IAM.
Теперь рассмотрим действия в разделе «Статус безопасности».
Обратите внимание, что «Удалить ваш корневой ключ доступа» сделано за вас. Если это не сделано, рекомендуется удалить ключ (и) корневого доступа. Использование ключей корневого доступа для доступа к вашим ресурсам - плохая практика.
Шаг 2. Активируйте многофакторную аутентификацию
Разверните «Активировать MFA в корневой учетной записи».
Мы будем использовать «виртуальное устройство MFA». Я буду использовать аутентификатор Google, но у вас есть несколько вариантов. Вы можете щелкнуть «список совместимых приложений», чтобы выбрать то, которое вам нравится.
Отсканируйте QR-код с помощью приложения по вашему выбору. Затем введите коды MFA один за другим.
Вернитесь к панели мониторинга IAM. Теперь вы должны увидеть зеленую галочку рядом с вкладкой MFA.
Шаг 3. Создайте пользователя IAM
Разверните «Создать отдельных пользователей IAM».
Нажмите «Добавить пользователя».
Введите имя пользователя. В данном случае имя пользователя - «том».
Мы предоставим этому пользователю программный доступ, что означает, что он сможет получать доступ к ресурсам через AWS SDK или CLI, используя идентификатор ключа доступа и секретный ключ (они будут созданы и сохранены, когда создание пользователя будет завершено на более поздних этапах).
Мы также предоставим пользователям доступ к Консоли управления AWS, чтобы они могли войти в Консоль AWS, используя свое имя пользователя и пароль.
Установите флажок «Требовать сброса пароля», чтобы пользователи могли сбрасывать свой пароль при входе в систему.
Мы также создадим группу, в которую добавим пользователя. Том является частью команды по развитию бизнеса, поэтому мы создадим группу под названием BisDev с ограниченными разрешениями. Давайте дадим группе возможность читать только файлы S3. Найдите политики, относящиеся к S3, затем выберите политику под названием «AmazonS3ReadOnly».
Теперь загрузите учетные данные пользователя и сохраните их. Вам потребуются ключ доступа и секретный ключ доступа для программного подключения к вашим ресурсам AWS. Если вы потеряете секретный ключ доступа, вам придется создать другой.
Теперь вернитесь к панели мониторинга IAM. Рядом с вами должна появиться зеленая галочка, чтобы создать пользователя. Поскольку мы создали группу в процессе, рядом с «Использовать группы для назначения разрешений» должна появиться еще одна галочка.
Шаг 4. Примените политику паролей IAM
Разверните «Применить политику паролей IAM».
Здесь вы можете выбрать набор требований к паролям пользователя.
Вернитесь к панели мониторинга IAM. Теперь должны присутствовать все галочки.
Шаг 5. Получите пароль для нового пользователя
Перейдите на вкладку Пользователи и щелкните своего нового пользователя.
Перейдите на вкладку «Учетные данные безопасности» и нажмите «Управление» рядом с «Паролем консоли».
Установите флажки «Автоматически сгенерированный пароль» и «Требовать сброса пароля». Это позволит пользователю изменить свой пароль при первом входе в систему.
Скопируйте / загрузите автоматически сгенерированный пароль и отправьте его новому пользователю.
Направьте пользователя на ссылку для входа в консоль AWS, расположенную на панели мониторинга IAM.
Теперь они смогут войти в систему, используя свое имя пользователя и пароль.
Поздравляем, теперь вы можете продолжить и изучить потенциал AWS IAM.
Удачи в пути!